As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# A arquitetura AWS de referência de privacidade
**Pesquisa**
Gostaríamos muito de ouvir você. Forneça feedback sobre o AWS PRA respondendo a uma [breve pesquisa](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
O diagrama a seguir ilustra a Arquitetura AWS de Referência de Privacidade (AWS PRA). Esse é um exemplo de uma arquitetura que conecta muitos recursos e recursos relacionados à privacidade Serviços da AWS . Essa arquitetura é criada em uma zona de pouso que é governada pelo AWS Control Tower.
![\[Diagrama dos AWS serviços implantados na Arquitetura de Referência AWS de Privacidade\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/privacy-reference-architecture/images/aws-pra-architecture.png)
O AWS PRA inclui uma arquitetura web sem servidor que é hospedada na conta do aplicativo de dados pessoais (PD). A arquitetura dessa conta é um exemplo de workload que coleta dados pessoais diretamente dos consumidores. Nessa workload, os usuários se conectam por meio de uma camada da web. A camada da web interage com a camada da aplicação. Essa camada recebe informações da camada da web, processa e armazena os dados, permite que equipes internas autorizadas e terceiros acessem os dados e, por fim, arquiva e exclui os dados quando não são mais necessários. A arquitetura é propositadamente modular e orientada por eventos para demonstrar muitas das técnicas básicas de engenharia de privacidade sem se aprofundar em casos de uso específicos, como data lakes, contêineres, computação ou Internet das Coisas (IoT).
A seguir, este guia descreve detalhadamente cada conta na organização. Ele discute os serviços e recursos relacionados à privacidade, as considerações e recomendações e os diagramas de cada uma das seguintes contas:
+ [Conta gerencial da organização](org-management-account.md)
+ [UO de segurança \$1 Conta do Security Tooling](security-tooling-account.md)
+ [UO de segurança \$1 Conta do Log Archive](log-archive-account.md)
+ [Infraestrutura de UO: conta de Rede](network-account.md)
+ [UO de dados pessoais \$1 Conta do PD Application](personal-data-account.md)
# Conta gerencial da organização
**Pesquisa**
Gostaríamos muito de ouvir você. Forneça feedback sobre o AWS PRA respondendo a uma [breve pesquisa](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
A conta gerencial da organização é usada principalmente para gerenciar a variação da configuração de recursos dos controles básicos de privacidade em todas as contas da sua organização, que é gerenciada pelo AWS Organizations. Essa conta também é onde você pode implantar novas contas de membros de forma consistente, com muitos dos mesmos controles de segurança e privacidade. Para obter mais informações sobre essa conta, consulte a [Arquitetura AWS de Referência de Segurança (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html). O diagrama a seguir ilustra os serviços de AWS segurança e privacidade configurados na conta de gerenciamento da organização.
![\[AWS serviços implantados na conta de gerenciamento da organização.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Org-Management.png)
**Topics**
+ [
## AWS Artifact
](#aws-artifact)
+ [
## AWS Control Tower
](#aws-control-tower)
+ [
## AWS Organizations
](#aws-organizations)
## AWS Artifact
O [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html) pode ajudar você com auditorias fornecendo downloads sob demanda de documentos e segurança e conformidade da AWS . Para obter mais informações sobre como esse serviço é usado em um contexto de segurança, consulte o [AWS Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html#mgmt-artifact).
Isso AWS service (Serviço da AWS) ajuda você a entender os controles que você herda AWS e a determinar quais controles podem estar faltando para você implementar em seu ambiente. AWS Artifact fornece acesso a relatórios AWS de segurança e conformidade, como relatórios de controles do sistema e da organização (SOC) e relatórios do setor de cartões de pagamento (PCI). Ele também fornece acesso a certificações de órgãos de credenciamento em todas as regiões e setores de conformidade que validam a implementação e a eficácia operacional dos controles. AWS Usando AWS Artifact, você pode fornecer os artefatos de AWS auditoria aos seus auditores ou reguladores como evidência dos controles de AWS segurança e privacidade. Os relatórios a seguir podem ser úteis para demonstrar a eficácia dos controles de privacidade da AWS :
+ **Relatório de privacidade SOC 2 tipo 2** — Este relatório demonstra a eficácia dos AWS controles sobre como os dados pessoais são coletados, usados, retidos, divulgados e descartados. Há também um [relatório SOC 3 Privacidade,](https://d1.awsstatic.com/whitepapers/compliance/AWS_SOC3.pdf) que é uma descrição menos detalhada dos controles de privacidade do SOC 2. Para obter mais informações, consulte as [Perguntas frequentes sobre o SOC](https://aws.amazon.com/compliance/soc-faqs/).
+ **Catálogo de controles de conformidade de computação em nuvem (C5)**: este relatório foi criado pela autoridade nacional de segurança cibernética da Alemanha, Bundesamt für Sicherheit in der Informationstechnik (BSI). Ele detalha os controles de segurança que a AWS implementou para atender aos requisitos do C5. Também inclui requisitos adicionais de controle de privacidade relacionados à localização de dados, ao provisionamento de serviços, ao local de jurisdição e às obrigações de divulgação de informações.
+ **Relatório de certificação ISO/IEC 27701:2019**: a [ISO/IEC 27701:2019](https://aws.amazon.com/compliance/iso-27701-faqs/?refid=sl_card) descreve os requisitos e as diretrizes para estabelecer e melhorar continuamente um sistema de gerenciamento de informações de privacidade (PIMS). Esse relatório detalha o escopo dessa certificação e pode servir como prova de AWS certificação. Para obter mais informações sobre esse padrão, consulte [ISO/IEC 27701:2019](https://www.iso.org/standard/71670.html) (site da ISO).
## AWS Control Tower
[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)ajuda você a configurar e controlar um ambiente de AWS várias contas que segue as práticas prescritivas recomendadas de segurança. Para obter mais informações sobre como esse serviço é usado em um contexto de segurança, consulte o [AWS Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html#mgmt-tower).
Em AWS Control Tower, você também pode automatizar a implantação de muitos controles proativos, preventivos e de deteção, também conhecidos como *grades* de proteção, que se alinham aos seus requisitos de privacidade de dados, especificamente para residência e soberania de dados. Por exemplo, você pode especificar barreiras de proteção que limitam a transferência de dados somente às Regiões da AWS aprovadas. *Para um controle ainda mais granular, você pode escolher entre mais de 17 grades de proteção projetadas para controlar a residência dos dados, como Proibir *conexões Amazon Virtual Private Network (VPN)*, *Proibir o acesso à Internet para uma instância do Amazon VPC* e Negar acesso com base na solicitação. AWS Região da AWS* Essas grades de proteção consistem em vários AWS CloudFormation ganchos, políticas de controle de serviços e AWS Config regras que podem ser implantadas uniformemente em sua organização. Para obter mais informações, consulte [Controles que aprimoram a proteção da residência de dados](https://docs.aws.amazon.com/controltower/latest/userguide/data-residency-controls.html) na AWS Control Tower documentação.
Para soberania de dados, AWS Control Tower atualmente fornece controles preventivos, como *Exigir que um volume anexado do Amazon EBS esteja configurado para criptografar dados em repouso* e *Exigir que uma política AWS KMS chave tenha uma declaração que limite a criação* de concessões a. AWS KMS Serviços da AWS Os controles de soberania são mais amplos do que apenas controles de residência de dados. Eles ajudam a evitar ações que possam violar a residência de dados, a restrição granular de acesso, a criptografia e os requisitos de resiliência. Para obter mais informações, consulte [Preventive controls that assist with digital sovereignty](https://docs.aws.amazon.com/controltower/latest/controlreference/ds-preventive-controls.html) na documentação do AWS Control Tower .
[Se você precisar implantar barreiras de privacidade além dos controles de residência e soberania de dados, AWS Control Tower inclua vários controles obrigatórios.](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html) Esses controles são implantados por padrão em todas as UO quando você configura a zona de pouso. Muitos deles são controles preventivos projetados para proteger os registros, como *não permitir a exclusão do arquivo de registros e *ativar a validação de integridade* do arquivo de log*. CloudTrail
AWS Control Tower também é integrado AWS Security Hub CSPM para fornecer controles de detetive. Esses controles são conhecidos como [Service-Managed Standard](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html):. AWS Control Tower Você pode usar esses controles para monitorar o desvio de configuração de controles de suporte à privacidade, como criptografia em repouso para as instâncias de banco de dados do Amazon Relational Database Service (Amazon RDS).
## AWS Organizations
O AWS PRA usa AWS Organizations para gerenciar centralmente todas as contas dentro da arquitetura. Para obter mais informações, consulte [AWS Organizations e a estrutura de conta dedicada](organization-account-structure.md) neste guia. Em AWS Organizations, você pode usar políticas de controle de serviços (SCPs) e [políticas de gerenciamento](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_management_policies.html) para ajudar a proteger os dados pessoais e a privacidade.
### Políticas de controle de serviços (SCPs)
[As políticas de controle de serviço (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) são um tipo de política organizacional que você pode usar para gerenciar permissões em sua organização. Eles fornecem controle centralizado sobre o máximo de permissões disponíveis para funções e usuários AWS Identity and Access Management (IAM) na conta de destino, na unidade organizacional (OU) ou na organização inteira. Você pode criar e se inscrever a SCPs partir da conta de gerenciamento da organização.
Você pode usar AWS Control Tower para implantar SCPs uniformemente em suas contas. Para obter mais informações sobre os controles de residência de dados pelos quais você pode se inscrever AWS Control Tower, consulte [AWS Control Tower](#aws-control-tower) este guia. AWS Control Tower inclui um complemento completo de medidas preventivas SCPs. Se o AWS Control Tower não for usado atualmente em sua organização, você também pode implantar esses controles manualmente.
#### Usando SCPs para atender aos requisitos de residência de dados
É comum gerenciar os requisitos de residência de dados pessoais armazenando e processando dados em uma região geográfica específica. Para verificar se os requisitos exclusivos de residência de dados de uma jurisdição foram atendidos, recomendamos que você trabalhe em estreita colaboração com sua equipe regulatória para confirmar seus requisitos. Quando esses requisitos são determinados, há vários controles AWS básicos de privacidade que podem ajudar no suporte. Por exemplo, você pode usar SCPs para limitar o que Regiões da AWS pode ser usado para processar e armazenar dados. Para ver um exemplo de política, consulte [Restrinja transferências de dados entre Regiões da AWS](restrict-data-transfers-across-regions.md) neste guia.
#### Usando SCPs para restringir chamadas de API de alto risco
É importante entender quais controles de segurança e privacidade são responsáveis e pelos quais você AWS é responsável. Por exemplo, você é responsável pelos resultados das chamadas de API que podem ser feitas em relação aos Serviços da AWS que você usa. Você também é responsável por entender quais dessas chamadas podem resultar em alterações em sua postura de segurança ou privacidade. Se você está preocupado em manter uma certa postura de segurança e privacidade, você pode habilitar SCPs essa negação de determinadas chamadas de API. Essas chamadas de API podem ter implicações, como divulgação não intencional de dados pessoais ou violações de transferências transfronteiriças específicas de dados. Por exemplo, você pode querer proibir as seguintes chamadas de API:
+ Habilitação do acesso público aos buckets do Amazon Simple Storage Service (Amazon S3)
+ [Desabilitar a Amazon GuardDuty ou criar regras de supressão para descobertas de exfiltração de dados, como a descoberta do Trojan:EC2/Exfiltration DNSData](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#trojan-ec2-dnsdataexfiltration)
+ Excluindo regras de AWS WAF exfiltração de dados
+ Compartilhamento público de snapshots do Amazon Elastic Block Store (Amazon EBS).
+ Remoção de uma conta de membro da organização
+ Desassociando o Amazon CodeGuru Reviewer de um repositório
### Políticas de gerenciamento
[As políticas de gerenciamento do](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_management_policies.html) AWS Organizations podem ajudá-lo a configurar Serviços da AWS e gerenciar centralmente seus recursos. Os tipos de política de gerenciamento que você escolhe determinam como as políticas afetam OUs as contas que as herdam. As [políticas de tags](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) são um exemplo de política de AWS Organizations gerenciamento diretamente relacionada à privacidade.
#### Uso das políticas de marcação
As [tags](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) são pares de valores-chave que ajudam você a gerenciar, identificar, organizar, pesquisar e filtrar AWS recursos. Pode ser útil aplicar tags que diferenciem os recursos na sua organização que lidam com dados pessoais. O uso de tags é compatível com muitas das soluções de privacidade deste guia. Por exemplo, talvez você queira aplicar uma tag que indique a classificação geral dos dados que estão sendo processados ou armazenados no recurso. Você pode escrever políticas de controle de acesso por atributo (ABAC) que limitem o acesso a recursos que têm uma tag ou um conjunto de tags específicas. Por exemplo, sua política pode especificar que o perfil `SysAdmin` não pode acessar recursos que tenham a tag `dataclassification:4`. Para obter mais informações e um tutorial, consulte [Definir permissões para acessar AWS recursos com base em tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) na documentação do IAM. Além disso, se sua organização usa o [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) para aplicar políticas de retenção de dados amplamente em seus backups em muitas contas, você pode aplicar uma tag que coloque esse recurso dentro do escopo dessa política de backup.
As [políticas de marcação](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) ajudam você a manter as tags consistentes em toda a organização. Em uma política de marcação, você especifica regras que se aplicam aos recursos quando eles são marcados. Por exemplo, você pode exigir que os recursos sejam marcados com chaves específicas, como `DataClassification` ou `DataSteward`, e você pode especificar tratamentos de caso ou valores válidos para chaves. Você também pode usar a [imposição](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-enforcement.html) para impedir que solicitações de marcação não compatíveis sejam concluídas.
Ao usar tags como um componente principal da sua estratégia de controle de privacidade, considere o seguinte:
+ Considere as implicações de colocar dados pessoais ou outros tipos de dados sensíveis em chaves ou valores de tags. Quando você entra em contato AWS para obter assistência técnica, AWS pode analisar tags e outros identificadores de recursos para ajudar a resolver o problema. Os dados da tag não são criptografados e Serviços da AWS, por exemplo Gerenciamento de Faturamento e Custos da AWS, podem lê-los. Portanto, talvez você queira desidentificar os valores das tags e depois reidentificá-los usando um sistema que você controla, como um sistema de gerenciamento de serviços de TI (ITSM). AWS recomenda não incluir informações de identificação pessoal nas etiquetas.
+ Considere que alguns valores de tags precisam ser imutáveis (não modificáveis) para evitar a evasão de controles técnicos, como condições ABAC que dependem de tags.
# UO de segurança \$1 Conta do Security Tooling
**Pesquisa**
Gostaríamos muito de ouvir você. Forneça feedback sobre o AWS PRA respondendo a uma [breve pesquisa](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
A conta do Security Tooling é dedicada a operar serviços básicos de segurança e privacidade Contas da AWS, monitorar e automatizar alertas e respostas de segurança e privacidade. Para obter mais informações sobre essa conta, consulte a [Arquitetura AWS de Referência de Segurança (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html). O diagrama a seguir ilustra os serviços AWS de segurança e privacidade configurados na conta do Security Tooling.
![\[Serviços da AWS implantado na conta do Security Tooling na unidade organizacional de Segurança.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Security-Tooling.png)
**Topics**
+ [
## AWS CloudTrail
](#aws-cloudtrail)
+ [
## AWS Config
](#aws-config)
+ [
## Amazon GuardDuty
](#amazon-guardduty)
+ [
## IAM Access Analyzer
](#iam-access-analyzer)
+ [
## Amazon Macie
](#amazon-macie)
## AWS CloudTrail
[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)ajuda você a auditar a atividade geral da API em seu Conta da AWS. Habilitar CloudTrail tudo Contas da AWS o Regiões da AWS que armazena, processa ou transmite dados pessoais pode ajudá-lo a rastrear o uso e a divulgação desses dados. O [AWS Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#mgmt-cloudtrail) recomenda habilitar uma trilha de organização, que é uma trilha única que registra em log todos os eventos de todas as contas na organização. No entanto, habilitar essa trilha da organização agrega os dados de logs de várias regiões em um único bucket do Amazon Simple Storage Service (Amazon S3) na conta do Archive Log. Para contas que lidam com dados pessoais, isso pode trazer algumas considerações adicionais de design. Os registros de log podem conter algumas referências a dados pessoais. Para atender aos requisitos de transferência e residência de dados, talvez seja necessário reconsiderar a agregação de dados de logs entre regiões em uma única região onde o bucket do S3 está localizado. Sua organização pode considerar quais workloads regionais devem ser incluídas ou excluídas da trilha organizacional. Para workloads que você decide excluir da trilha da organização, considere configurar uma trilha específica da região que mascare dados pessoais. Para obter mais informações sobre como mascarar dados pessoais, consulte a seção [Amazon Data Firehose](personal-data-account.md#amazon-data-firehose) deste guia. Em última análise, sua organização pode ter uma combinação de trilhas organizacionais e trilhas regionais que se agregam à conta centralizada do Log Archive.
Para obter mais informações sobre como configurar uma trilha de região única, consulte as instruções para usar a [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.html#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single) ou o [console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html#creating-a-trail-in-the-console). Ao criar a trilha da organização, você pode usar uma configuração de [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/configure-org-trails.html)aceitação ou criar a trilha diretamente no [CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-an-organizational-trail-in-the-console.html).
Para obter mais informações sobre a abordagem geral e como gerenciar a centralização de logs e os requisitos de transferência de dados, consulte a seção [Armazenamento de log centralizado](log-archive-account.md#centralized-log-storage) neste guia. Seja qual for a configuração escolhida, talvez você queira separar o gerenciamento de trilhas na conta do Security Tooling do armazenamento de registros na conta do Log Archive, de acordo com a AWS SRA. Esse design ajuda você a criar políticas de acesso com privilégio mínimo para aqueles que precisam gerenciar logs e para aqueles que precisam usar os dados de logs.
## AWS Config
O [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) oferece uma exibição detalhada dos recursos em sua Conta da AWS e como eles são configurados. Ele ajuda você a identificar como os recursos estão relacionados entre si e como suas configurações foram alteradas ao longo do tempo. Para obter mais informações sobre como esse serviço é usado em um contexto de segurança, consulte o [AWS Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-config).
Em AWS Config, você pode implantar [pacotes de conformidade](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html), que são conjuntos de AWS Config regras e ações de remediação. Os pacotes de conformidade fornecem uma estrutura de uso geral projetada para permitir verificações de governança de privacidade, segurança, operação e otimização de custos usando regras gerenciadas ou personalizadas. AWS Config Você pode usar essa ferramenta como parte de um conjunto maior de ferramentas de automação para controlar se suas configurações de AWS recursos estão em conformidade com seus próprios requisitos de estrutura de controle.
O pacote de conformidade de [Boas Práticas Operacionais para o NIST Privacy Framework v1.0](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-nist_privacy_framework.html) está alinhado a uma série de controles relacionados à privacidade do NIST Privacy Framework. Cada AWS Config regra se aplica a um tipo de AWS recurso específico e está relacionada a um ou mais controles do NIST Privacy Framework. Você pode usar esse pacote de conformidade para monitorar a conformidade contínua relacionada à privacidade em todos os recursos de suas contas. Confira abaixo algumas das regras incluídas neste pacote de conformidade:
+ `no-unrestricted-route-to-igw`: esta regra ajuda a evitar a exfiltração de dados no plano de dados monitorando continuamente as tabelas de rotas da VPC em busca de rotas de saída padrão `0.0.0.0/0` ou `::/0` para um gateway da internet. Isso ajuda você a restringir para onde o tráfego vinculado à internet pode ser enviado, especialmente se houver intervalos de CIDR conhecidos por serem maliciosos.
+ `encrypted-volumes`: esta regra verifica se os volumes do Amazon Elastic Block Store (Amazon EBS) que estão anexados às instâncias do Amazon Elastic Compute Cloud (Amazon EC2) estão criptografados. Se sua organização tiver requisitos de controle específicos relacionados ao uso de chaves AWS Key Management Service (AWS KMS) para proteção de dados pessoais, você poderá especificar uma chave específica IDs como parte da regra para verificar se os volumes estão criptografados com uma AWS KMS chave específica.
+ `restricted-common-ports`: esta regra verifica se os grupos de segurança do Amazon EC2 permitem tráfego TCP irrestrito para portas especificadas. Os grupos de segurança podem ajudá-lo a gerenciar o acesso à rede fornecendo filtragem de estado do tráfego de entrada e saída da rede para os recursos. AWS Bloquear o tráfego de entrada de `0.0.0.0/0` para portas comuns, como TCP 3389 e TCP 21, em seus recursos ajuda a restringir o acesso remoto.
AWS Config pode ser usado para verificações de conformidade proativas e reativas de seus AWS recursos. Além de considerar as regras encontradas nos pacotes de conformidade, você pode incorporá-las nos modos de avaliação de detecção e proativa. Isso ajuda a implementar verificações de privacidade mais cedo em seu ciclo de vida de desenvolvimento de software, pois os desenvolvedores de aplicações podem começar a incorporar verificações de pré-implantação. Por exemplo, eles podem incluir ganchos em seus AWS CloudFormation modelos que verificam o recurso declarado no modelo em relação a todas as AWS Config regras relacionadas à privacidade que têm o modo proativo ativado. Para obter mais informações, consulte [AWS Config Rules Now Support Proactive Compliance](https://aws.amazon.com/blogs/aws/new-aws-config-rules-now-support-proactive-compliance/) (publicação AWS no blog).
## Amazon GuardDuty
AWS oferece vários serviços que podem ser usados para armazenar ou processar dados pessoais, como Amazon S3, Amazon Relational Database Service (Amazon RDS) ou Amazon EC2 com Kubernetes. [A Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) combina visibilidade inteligente com monitoramento contínuo para detectar indicadores que possam estar relacionados à divulgação não intencional de dados pessoais. Para obter mais informações sobre como esse serviço é usado em um contexto de segurança, consulte o [AWS Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-guardduty).
Com GuardDuty, você pode identificar atividades potencialmente maliciosas relacionadas à privacidade em todo o ciclo de vida de um ataque. Por exemplo, GuardDuty pode alertá-lo sobre conexões com sites na lista negra, tráfego de portas de rede ou volumes de tráfego incomuns, exfiltração de DNS, lançamentos inesperados de instâncias do EC2 e chamadas incomuns de ISP. Você também pode configurar GuardDuty para interromper alertas de endereços IP confiáveis de suas próprias *listas de IP confiáveis* e alertar sobre endereços IP maliciosos conhecidos de suas próprias *listas de ameaças*.
Conforme recomendado no AWS SRA, você pode habilitar GuardDuty para todos Contas da AWS em sua organização e configurar a conta do Security Tooling como administrador GuardDuty delegado. GuardDuty****agrega descobertas de toda a organização em uma única conta. Para obter mais informações, consulte [Gerenciando GuardDuty contas com AWS Organizations](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html). Você também pode considerar identificar todas as partes interessadas relacionadas à privacidade no processo de resposta a incidentes, da detecção e análise à contenção e erradicação, e envolvê-las em quaisquer incidentes que possam envolver a exfiltração de dados.
## IAM Access Analyzer
Muitos clientes querem garantia contínua de que os dados pessoais estão sendo compartilhados adequadamente com processadores terceirizados pré-aprovados e pretendidos, e nenhuma outra entidade. Um [perímetro de dados](https://aws.amazon.com/identity/data-perimeters-on-aws/) é um conjunto de barreiras de proteção preventivas projetado para garantir que apenas identidades confiáveis das redes esperadas acessem recursos confiáveis em seu ambiente da AWS . Ao definir controles para a divulgação não intencional e intencional de dados pessoais, você pode definir identidades confiáveis, recursos confiáveis e redes esperadas.
Com o [AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html), as organizações podem definir uma Conta da AWS zona de confiança e configurar alertas para violações dessa zona de confiança. O analisador de acesso do IAM analisa as políticas do IAM para ajudar a identificar e resolver o acesso público não intencional ou entre contas a recursos potencialmente sensíveis. O analisador de acesso do IAM usa lógica matemática e inferência para gerar descobertas abrangentes para recursos que podem ser acessados de fora de uma Conta da AWS. Por fim, para responder e remediar políticas excessivamente permissivas do IAM, você pode usar o analisador de acesso do IAM para validar as políticas existentes em relação às práticas recomendadas do IAM e fornecer sugestões. O analisador de acesso do IAM pode gerar uma política do IAM com privilégio mínimo baseada na atividade de acesso anterior de uma entidade principal do IAM. Ele analisa os CloudTrail registros e gera uma política que concede somente as permissões necessárias para continuar executando essas tarefas.
Para obter mais informações sobre como o analisador de acesso do IAM é usado em um contexto de segurança, consulte o [AWS Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-iam-analyzer).
## Amazon Macie
O [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) é um serviço que usa machine learning e correspondência de padrões para descobrir dados sensíveis, fornece visibilidade dos riscos de segurança de dados e ajuda você a automatizar proteções contra esses riscos. O Macie gera descobertas quando detecta possíveis violações de política ou problemas com a segurança ou privacidade dos seus buckets do Amazon S3. O Macie é outra ferramenta que as organizações podem usar para implementar a automação a fim de apoiar os esforços de conformidade. Para obter mais informações sobre como esse serviço é usado em um contexto de segurança, consulte o [AWS Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-macie).
O Macie pode detectar uma lista grande e crescente de tipos de dados sensíveis, incluindo informações de identificação pessoal (PII), como nomes, endereços e outros atributos identificáveis. Você pode até mesmo criar [identificadores de dados personalizados](https://docs.aws.amazon.com/macie/latest/user/custom-data-identifiers.html) para definir critérios de detecção que reflitam a definição de dados pessoais da sua organização.
À medida que sua organização define controles preventivos para seus buckets do Amazon S3 que contêm dados pessoais, você pode usar o Macie como um mecanismo de validação para fornecer garantia contínua de onde seus dados pessoais estão e como estão protegidos. Para começar, habilite o Macie e configure a [descoberta automatizada de dados sensíveis](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd.html). O Macie analisa continuamente os objetos em todos os seus buckets do S3, em todas as contas e. Regiões da AWS O Macie gera e mantém um mapa de calor interativo que mostra onde os dados pessoais residem. O recurso automatizado de descoberta de dados sensíveis foi projetado para reduzir custos e minimizar a necessidade de configurar manualmente as tarefas de descoberta. Você pode aproveitar o recurso automatizado de descoberta de dados sensíveis e usar o Macie para detectar automaticamente novos buckets ou novos dados em buckets existentes e, em seguida, validar os dados com base nas tags de classificação de dados atribuídas. Configure essa arquitetura para notificar as equipes apropriadas de desenvolvimento e privacidade sobre buckets classificados incorretamente ou não classificados em tempo hábil.
Você pode habilitar o Macie para cada conta em sua organização usando o. AWS Organizations Para obter mais informações, consulte [Integrating and configuring an organization in Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao-integrate.html).
# UO de segurança \$1 Conta do Log Archive
**Pesquisa**
Gostaríamos muito de ouvir você. Forneça feedback sobre o AWS PRA respondendo a uma [breve pesquisa](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
A conta do Log Archive é onde você centraliza os tipos de logs de infraestrutura, serviços e aplicações. Para obter mais informações sobre essa conta, consulte a [Arquitetura AWS de Referência de Segurança (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/log-archive.html). Com uma conta dedicada para logs, você pode aplicar alertas consistentes em todos os tipos de logs e confirmar que os agentes de resposta a incidentes podem acessar um conjunto desses logs em um só lugar. Você também pode configurar controles de segurança e políticas de retenção de dados em um só lugar, o que pode simplificar a sobrecarga operacional de privacidade. O diagrama abaixo ilustra os serviços de segurança e privacidade da AWS configurados na conta do Log Archive.
![\[Serviços da AWS implantado na conta do Log Archive na unidade organizacional de Segurança.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Log-Archive.png)
## Armazenamento de log centralizado
Arquivos de log (como AWS CloudTrail registros) podem conter informações que podem ser consideradas dados pessoais. Algumas organizações optam por usar uma trilha organizacional para agregar CloudTrail registros entre Regiões da AWS contas em um local central, para fins de visibilidade. Para obter mais informações, consulte [AWS CloudTrail](security-tooling-account.md#aws-cloudtrail) neste guia. Ao implementar a centralização de CloudTrail registros, os registros normalmente são armazenados em um bucket do Amazon Simple Storage Service (Amazon S3) em uma única região.
Dependendo da definição de dados pessoais de sua organização, de suas obrigações contratuais com seus clientes e dos regulamentos de privacidade regionais aplicáveis, talvez seja necessário considerar transferências de dados transfronteiriças quando se tratar de agregação de logs. Determine se os dados pessoais nos vários tipos de logs se enquadram nessas restrições. Por exemplo, CloudTrail os registros podem conter dados de funcionários de sua organização, mas podem não conter dados pessoais de seus clientes. Se sua organização precisar aderir aos requisitos restritos de transferência de dados, as seguintes opções podem oferecer apoio a essa questão:
+ Se sua organização estiver fornecendo serviços Nuvem AWS para titulares de dados em vários países, você pode optar por agregar todos os registros no país que tenha os requisitos de residência de dados mais rigorosos. Por exemplo, se você estiver operando na Alemanha e ela tiver os requisitos mais rigorosos, você pode agregar dados em um bucket do S3 para que `eu-central-1` Região da AWS os dados coletados na Alemanha não saiam das fronteiras da Alemanha. Para essa opção, você pode configurar uma única trilha organizacional CloudTrail que agregue registros de todas as contas e Regiões da AWS da região de destino.
+ Redija os dados pessoais que precisam permanecer Região da AWS antes de serem copiados e agregados em outra região. Por exemplo, você pode mascarar os dados pessoais na região host da aplicação antes de transferir os logs para uma região diferente. Para obter mais informações sobre como mascarar dados pessoais, consulte a seção [Amazon Data Firehose](personal-data-account.md#amazon-data-firehose) deste guia.
+ Se você tiver preocupações rigorosas com a soberania de dados, poderá manter uma landing zone separada com várias contas que imponha esses requisitos Região da AWS . Dessa forma, você pode simplificar a configuração da zona de pouso na região para o registro em log centralizado. Ela também fornece vantagens adicionais de segregação de infraestrutura e ajuda a manter o log local em sua própria região. Trabalhe com seu advogado para determinar quais dados pessoais estão no escopo e quais Region-to-Region transferências são permitidas. Para obter mais informações, consulte [Elaboração de estratégias para uma expansão global](global-expansion.md) neste guia.
Por meio [de registros de serviços](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html), registros de aplicativos e registros do sistema operacional (SO), você pode usar CloudWatch a Amazon para monitorar Serviços da AWS nossos recursos em sua conta e região correspondentes por padrão. Muitos optam por centralizar esses logs e métricas de várias contas e regiões em uma única conta. Por padrão, esses logs persistem na conta correspondente e na região de origem. Para centralização, você pode usar [filtros de assinatura](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html) e [tarefas de exportação do Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html) para compartilhar dados em um local centralizado. Talvez seja importante incluir os filtros e as tarefas de exportação adequados ao agregar logs de uma workload que tenha requisitos de transferência de dados transfronteiriça. Se os logs de acesso de uma workload contiverem dados pessoais, talvez seja necessário garantir que eles sejam transferidos ou retidos em contas e regiões específicas.
## Amazon Security Lake
Conforme recomendado no AWS SRA, talvez você queira usar a conta do Log Archive como a conta de administrador delegado do [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html). Quando você faz isso, o Security Lake coleta logs compatíveis em buckets dedicados do Amazon S3 na mesma conta que outros logs de segurança recomendados pelo SRA.
Do ponto de vista da privacidade, é importante que seus respondentes a incidentes tenham acesso aos registros de seus AWS ambientes, provedores de SaaS, locais, fontes na nuvem e fontes de terceiros. Isso os ajuda a bloquear e remediar mais rapidamente o acesso não autorizado aos dados pessoais. As mesmas considerações sobre o armazenamento de logs provavelmente se aplicam à residência de logs e à movimentação regional dentro do Amazon Security Lake. Isso ocorre porque o Security Lake coleta registros e eventos de segurança do local Regiões da AWS em que você ativou o serviço. Para cumprir os requisitos de residência de dados, considere sua configuração de [regiões de rollup](https://docs.aws.amazon.com/security-lake/latest/userguide/add-rollup-region.html).Uma *região de rollup* é uma região em que o Security Lake consolida dados de uma ou mais regiões contribuintes, que você seleciona. Talvez sua organização precise se alinhar aos requisitos regionais de conformidade para a residência de dados antes que você possa configurar o Security Lake e regiões de rollup.
# Infraestrutura de UO: conta de Rede
**Pesquisa**
Gostaríamos muito de ouvir você. Forneça feedback sobre o AWS PRA respondendo a uma [breve pesquisa](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
Na conta Rede, você gerencia a rede entre suas nuvens privadas virtuais (VPCs) e a Internet em geral. Nessa conta, você pode implementar amplos mecanismos de controle de divulgação usando AWS WAF, use AWS Resource Access Manager (AWS RAM) para compartilhar sub-redes e AWS Transit Gateway anexos de VPC e usar a CloudFront Amazon para oferecer suporte ao uso direcionado de serviços. Para obter mais informações sobre essa conta, consulte a [Arquitetura AWS de Referência de Segurança (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html). O diagrama a seguir ilustra os serviços de AWS segurança e privacidade configurados na conta de rede.
![\[Serviços da AWS implantado na conta de rede na unidade organizacional de infraestrutura.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Network.png)
**Topics**
+ [
## Amazon CloudFront
](#cloudfront)
+ [
## AWS Resource Access Manager
](#aws-ram-network)
+ [
## AWS Transit Gateway
](#transit-gateway)
+ [
## AWS WAF
](#aws-waf)
## Amazon CloudFront
[A Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) oferece suporte a restrições geográficas para aplicativos de front-end e hospedagem de arquivos. CloudFrontpode fornecer conteúdo por meio de uma rede mundial de data centers chamados de *pontos de presença*. Quando um usuário solicita o conteúdo com o qual você está servindo CloudFront, a solicitação é encaminhada para o ponto de presença que fornece a menor latência. Para obter mais informações sobre como esse serviço é usado em um contexto de segurança, consulte o [AWS Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html#network-cf).
Atualmente, seu programa de privacidade pode oferecer suporte à conformidade com leis regionais específicas. Se sua workload tiver como escopo fornecer serviços somente a clientes que residem apenas nessas regiões, você poderá implementar medidas técnicas que impeçam o uso de outras regiões. Você pode usar restrições CloudFront geográficas para impedir que usuários em localizações geográficas específicas acessem o conteúdo que você está distribuindo por meio de uma CloudFront distribuição. Para obter mais informações e opções de configuração para restrições geográficas, consulte [Restringir a distribuição geográfica do seu conteúdo](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html) na CloudFront documentação.
Você também pode configurar CloudFront para gerar registros de acesso que contêm informações detalhadas sobre cada solicitação de usuário CloudFront recebida. Para obter mais informações, consulte [Configuração e uso de registros padrão (registros de acesso)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html) na CloudFront documentação. Por fim, se CloudFront estiver configurado para armazenar em cache o conteúdo em uma série de pontos de presença, você pode considerar onde ocorre o armazenamento em cache. Para algumas organizações, o armazenamento em cache entre regiões pode estar sujeito aos requisitos de transferência de dados transfronteiriças.
## AWS Resource Access Manager
[AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) ajuda você a compartilhar seus recursos com segurança Contas da AWS para reduzir a sobrecarga operacional e fornecer visibilidade e auditabilidade. Com AWS RAM, as organizações podem restringir quais AWS recursos podem ser compartilhados com outras Contas da AWS pessoas da organização ou com contas de terceiros. Para obter mais informações, consulte [AWS Recursos compartilháveis](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html). Na conta de rede, você pode usar AWS RAM para compartilhar sub-redes VPC e conexões de gateway de trânsito. Se você costuma AWS RAM compartilhar uma conexão de plano de dados com outra pessoa Conta da AWS, considere estabelecer processos para verificar se as conexões são feitas de acordo com os requisitos de residência de dados pré-aprovadas Regiões da AWS e cumprem seus requisitos de residência de dados.
Além das conexões de gateway de compartilhamento VPCs e trânsito, AWS RAM pode ser usado para compartilhar recursos que não oferecem suporte às políticas baseadas em recursos do IAM. Para uma carga de trabalho hospedada na UO de [Dados Pessoais, você](personal-data-account.md) pode usar AWS RAM para acessar dados pessoais localizados em uma área separada Conta da AWS. Para obter mais informações, consulte [AWS Resource Access Manager](personal-data-account.md#aws-ram-pd-account) na seção *UO de dados pessoais \$1 Conta do PD Application*.
## AWS Transit Gateway
Se você quiser implantar AWS recursos que coletem, armazenem ou processem Regiões da AWS dados pessoais de acordo com seus requisitos de residência de dados organizacionais e tiver as proteções técnicas apropriadas, considere a implementação de grades de proteção para evitar fluxos de dados transfronteiriços não aprovados nos planos de controle e de dados. No ambiente de gerenciamento, você pode limitar o uso da região e, como resultado, os fluxos de dados entre regiões usando políticas de controle de serviços e do IAM.
Há várias opções para controlar fluxos de dados entre regiões no plano de dados. Por exemplo, você pode usar tabelas de rotas, emparelhamento de VPC e anexos. AWS Transit Gateway [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)é um hub central que conecta nuvens privadas virtuais (VPCs) e redes locais. Como parte de sua AWS landing zone maior, você pode considerar as várias maneiras pelas quais os dados podem ser percorridos Regiões da AWS, inclusive por meio de gateways de Internet, por meio de peering direto e por meio de VPC-to-VPC peering entre regiões com. AWS Transit Gateway Por exemplo, você pode fazer o seguinte no AWS Transit Gateway:
+ Confirme se as conexões leste-oeste e norte-sul entre seus ambientes VPCs e locais estão alinhadas com seus requisitos de privacidade.
+ Definir as configurações da VPC de acordo com seus requisitos de privacidade.
+ Use uma política de controle de serviços AWS Organizations e políticas do IAM para ajudar a evitar modificações nas suas configurações AWS Transit Gateway e nas da Amazon Virtual Private Cloud (Amazon VPC). Para ver um exemplo de política de controle de serviços, consulte [Restringir as alterações nas configurações da VPC](restrict-changes-vpc-configurations.md) neste guia.
## AWS WAF
Para ajudar a evitar a divulgação não intencional de dados pessoais, você pode implantar uma defense-in-depth abordagem para seus aplicativos da web. Você pode criar validação de entrada e limitação de taxa em seu aplicativo, mas AWS WAF pode servir como outra linha de defesa. [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html)é um firewall de aplicativo web que ajuda você a monitorar solicitações HTTP e HTTPS que são encaminhadas para seus recursos protegidos de aplicativos web. Para obter mais informações sobre como esse serviço é usado em um contexto de segurança, consulte o [AWS Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html#network-waf).
Com AWS WAF, você pode definir e implantar regras que inspecionam critérios específicos. As seguintes atividades podem estar associadas à divulgação não intencional de dados pessoais:
+ Tráfego proveniente de endereços IP ou localizações geográficas desconhecidas ou maliciosas.
+ Os [dez principais ataques](https://owasp.org/www-project-top-ten/) do Open Worldwide Application Security Project (OWASP), incluindo ataques relacionados à exfiltração, como injeção de SQL
+ Altas taxas de solicitações
+ Tráfego geral de bots
+ Extratores de conteúdo
Você pode implantar [grupos de AWS WAF regras](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-groups.html) que são gerenciados pelo AWS. Alguns grupos de regras gerenciados do AWS WAF podem ser usados para detectar ameaças à privacidade e aos dados pessoais, por exemplo:
+ [Banco de dados SQL](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html#aws-managed-rule-groups-use-case-sql-db): este grupo de regras contém regras para bloquear padrões de solicitação associados à exploração de bancos de dados SQL, como ataques de injeção de SQL. Considere usar esse grupo de regras se sua aplicação se conectar com um banco de dados SQL.
+ [Entradas ruins conhecidas](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html#aws-managed-rule-groups-baseline-known-bad-inputs): este grupo de regras contém regras para bloquear padrões de solicitação conhecidos como inválidos e associados à exploração ou à descoberta de vulnerabilidades.
+ [Controle de bots](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html): este grupo de regras contém regras criadas para gerenciar solicitações de bots, que podem consumir recursos em excesso, distorcer as métricas de negócios, causar tempo de inatividade e realizar atividades maliciosas.
+ [Prevenção contra apropriação de contas (ATP)](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-atp.html): este grupo de regras contém regras criadas para evitar tentativas mal-intencionadas de invasão de contas. Este grupo de regras inspeciona as tentativas de login enviadas para o endpoint de login da sua aplicação.
# UO de dados pessoais \$1 Conta do PD Application
**Pesquisa**
Gostaríamos muito de ouvir você. Forneça feedback sobre o AWS PRA respondendo a uma [breve pesquisa](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2).
A conta do Personal Data (PD) Application é onde sua organização hospeda serviços que coletam e processam dados pessoais. Especificamente, você pode armazenar o que você define como dados pessoais nessa conta. O AWS PRA demonstra vários exemplos de configurações de privacidade por meio de uma arquitetura web sem servidor de várias camadas. Quando se trata de operar cargas de trabalho em um AWS landing zone, as configurações de privacidade não devem ser consideradas one-size-fits-all soluções. Por exemplo, seu objetivo pode ser entender os conceitos subjacentes, como eles podem melhorar a privacidade e como sua organização pode aplicar soluções aos seus casos de uso e arquiteturas específicos.
Pois Contas da AWS em sua organização que coleta, armazena ou processa dados pessoais, você pode usar AWS Organizations e AWS Control Tower implantar proteções básicas e reproduzíveis. Estabelecimento de uma unidade organizacional (UO) dedicada para essas contas é fundamental. Por exemplo, você talvez queira aplicar barreiras de proteção de residência de dados somente a um subconjunto de contas em que a residência de dados é uma consideração fundamental do design. Para muitas organizações, estas são as contas que armazenam e processam dados pessoais.
Sua organização pode considerar oferecer suporte a uma conta de dados dedicada, que é onde você armazena a fonte autorizada de seus conjuntos de dados pessoais. Uma fonte de dados autorizada é um local onde você armazena a versão primária dos dados, que pode ser considerada a versão mais confiável e precisa dos dados. Por exemplo, você pode copiar os dados da fonte de dados autorizada para outros locais, como buckets do Amazon Simple Storage Service (Amazon S3) na conta do PD Application que são usados para armazenar dados de treinamento, um subconjunto de dados do cliente e dados ocultados. Ao adotar essa abordagem de várias contas para separar conjuntos de dados pessoais completos e definitivos na conta de dados das workloads downstream do consumidor na conta do PD Application, você pode reduzir o escopo do impacto no caso de acesso não autorizado às suas contas.
O diagrama a seguir ilustra os serviços de AWS segurança e privacidade configurados nas contas de aplicativos e dados do PD.
![\[Serviços da AWS implantado no Aplicativo de Dados Pessoais e nas contas de dados na OU de Dados Pessoais.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-PD-Application.png)
**Topics**
+ [
## Amazon Athena
](#athena)
+ [
## Amazon Bedrock
](#bedrock)
+ [
## AWS Clean Rooms
](#clean-rooms)
+ [
## CloudWatch Registros da Amazon
](#cloudwatch-logs)
+ [
## CodeGuru Revisor da Amazon
](#codeguru-reviewer)
+ [
## Amazon Comprehend
](#comprehend)
+ [
## Amazon Data Firehose
](#amazon-data-firehose)
+ [
## Amazon DataZone
](#datazone)
+ [
## AWS Glue
](#aws-glue)
+ [
## AWS Key Management Service
](#aws-kms)
+ [
## AWS Lake Formation
](#lake-formation)
+ [
## Zonas locais da AWS
](#aws-local-zones)
+ [
## AWS Enclaves Nitro
](#nitro-enclaves)
+ [
## AWS PrivateLink
](#privatelink)
+ [
## AWS Resource Access Manager
](#aws-ram-pd-account)
+ [
## SageMaker IA da Amazon
](#sagemaker)
+ [
## AWS recursos que ajudam a gerenciar o ciclo de vida dos dados
](#manage-data-lifecycle)
+ [
## Serviços da AWS e recursos que ajudam a segmentar dados
](#segment-data)
+ [
## Serviços da AWS e recursos que ajudam a descobrir, classificar ou catalogar dados
](#discovery-classification)
## Amazon Athena
Você pode considerar os controles de limitação de consultas de dados para atender às suas metas de privacidade. O [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/what-is.html) é um serviço de consultas interativas que facilita a análise de dados diretamente no Amazon S3 usando SQL padrão. Você não precisa carregar os dados no Athena. Ele funciona diretamente com os dados armazenados nos buckets do S3.
Um caso de uso comum do Athena é fornecer às equipes de data analytics conjuntos de dados personalizados e limpos. Se os conjuntos de dados contiverem dados pessoais, você poderá limpar o conjunto de dados mascarando colunas inteiras de dados pessoais que fornecem pouco valor às equipes de data analytics. Para obter mais informações, consulte [Anonimizar e gerenciar dados em seu data lake com o Amazon Athena AWS Lake Formation](https://aws.amazon.com/blogs/big-data/anonymize-and-manage-data-in-your-data-lake-with-amazon-athena-and-aws-lake-formation/) e AWS (postagem no blog).
Se sua abordagem de transformação de dados exigir flexibilidade adicional fora das [funções com suporte no Athena](https://docs.aws.amazon.com/athena/latest/ug/functions.html), você poderá definir funções personalizadas denominadas [funções definidas pelo usuário (UDF)](https://docs.aws.amazon.com/athena/latest/ug/querying-udf.html). Você pode invocar UDFs em uma consulta SQL enviada ao Athena e elas são executadas em. AWS Lambda Você pode usar `FILTER SQL` consultas UDFs in `SELECT` e pode invocar várias UDFs na mesma consulta. Para fins de privacidade, você pode criar UDFs tipos específicos de mascaramento de dados, como mostrar somente os últimos quatro caracteres de cada valor em uma coluna.
## Amazon Bedrock
O [Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-bedrock.html) é um serviço totalmente gerenciado que fornece acesso aos modelos básicos das principais empresas de IA, como AI21 Labs, Anthropic, Meta, Mistral AI e Amazon. Ele ajuda as organizações a criar e escalar aplicações de IA generativa. Independentemente da plataforma usada, ao usar a IA generativa, as organizações podem enfrentar riscos de privacidade, incluindo a possível exposição de dados pessoais, acesso não autorizado a dados e outras violações de conformidade.
As [Barreiras de Proteção para Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails.html) foram projetadas para ajudar a mitigar esses riscos aplicando as práticas recomendadas de segurança e conformidade em todas as suas workloads de IA generativa no Amazon Bedrock. A implantação e o uso de recursos de IA nem sempre estão alinhados aos requisitos de privacidade e conformidade de uma organização. As organizações podem ter dificuldade em manter a privacidade dos dados ao usar modelos de IA generativa porque esses modelos podem provavelmente memorizar ou reproduzir informações confidenciais. As Barreiras de Proteção para Amazon Bedrock ajudam a proteger a privacidade avaliando as entradas do usuário e as respostas do modelo. No geral, se os dados de entrada contiverem dados pessoais, poderá haver o risco de essas informações serem expostas na saída do modelo.
As Barreiras de Proteção para Amazon Bedrock fornecem mecanismos para aplicar políticas de proteção de dados e ajudar a evitar a exposição não autorizada de dados. Elas oferecem [recursos de filtragem de conteúdo](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-sensitive-filters.html) para detectar e bloquear dados pessoais nas entradas, [restrições de tópicos](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-denied-topics.html) para ajudar a impedir o acesso a assuntos impróprios ou arriscados e [filtros de palavras](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-word-filters.html) para mascarar ou ocultar termos sensíveis nos prompts e respostas do modelo. Esses recursos ajudam a evitar eventos que podem levar a violações de privacidade, como respostas tendenciosas ou a perda gradual da confiança do cliente. Esses recursos podem ajudar você a garantir que os dados pessoais não sejam processados ou divulgados inadvertidamente pelos seus modelos de IA. As Barreiras de Proteção para Amazon Bedrock também são compatíveis com a avaliação de entradas e respostas fora do Amazon Bedrock. Para obter mais informações, consulte [Implement model-independent safety measures with Amazon Bedrock Guardrails](https://aws.amazon.com/blogs/machine-learning/implement-model-independent-safety-measures-with-amazon-bedrock-guardrails/) (publicação do Blog da AWS ).
Com as Barreiras de Proteção para Amazon Bedrock, você pode limitar o risco de alucinações em modelos usando [verificações de fundamentação contextual](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-contextual-grounding-check.html), que avaliam a fundamentação factual e a relevância das respostas. Um exemplo é a implantação de uma aplicação de IA generativa voltada para o cliente que usa fontes de dados de terceiros em uma aplicação de [geração aumentada via recuperação (RAG)](https://aws.amazon.com/what-is/retrieval-augmented-generation/). As verificações de fundamentação contextual podem ser usadas para validar as respostas do modelo em relação a essas fontes de dados e a filtrar respostas imprecisas. No contexto do AWS PRA, você pode implementar o Amazon Bedrock Guardrails em todas as contas de carga de trabalho, onde ele impõe proteções de privacidade específicas que são adaptadas aos requisitos de cada carga de trabalho.
## AWS Clean Rooms
À medida que as organizações buscam maneiras de colaborar umas com as outras por meio da análise de conjuntos de dados confidenciais que se cruzam ou se sobrepõem, manter a segurança e a privacidade desses dados compartilhados é uma preocupação. O [AWS Clean Rooms](https://docs.aws.amazon.com/clean-rooms/latest/userguide/what-is.html) ajuda você a implantar *salas limpas de dados*, que são ambientes seguros e neutros em que as organizações podem analisar conjuntos de dados combinados sem compartilhar os dados brutos em si. Ele também pode gerar insights exclusivos ao fornecer acesso a outras organizações AWS sem mover ou copiar dados de suas próprias contas e sem revelar o conjunto de dados subjacente. Todos os dados permanecem no local de origem. As regras de análise integradas restringem a saída e as consultas SQL. Todas as consultas são registradas em log, e os membros de colaboração podem ver como seus dados estão sendo consultados.
Você pode criar uma AWS Clean Rooms colaboração e convidar outros AWS clientes para serem membros dessa colaboração. Você concede a um membro a capacidade de consultar os conjuntos de dados de membros, e você pode escolher membros adicionais para receber os resultados dessas consultas. Se mais de um membro precisar consultar os conjuntos de dados, você poderá criar colaborações adicionais com as mesmas fontes de dados e configurações de membros diferentes. Cada membro pode filtrar os dados que são compartilhados com os membros da colaboração, e você pode usar regras de análise personalizadas para definir limitações sobre como os dados que eles fornecem à colaboração podem ser analisados.
Além de restringir os dados apresentados à colaboração e como eles podem ser usados por outros membros, AWS Clean Rooms fornece os seguintes recursos que podem ajudar você a proteger a privacidade:
+ A *privacidade diferencial* é uma técnica matemática que aprimora a privacidade do usuário adicionando uma quantidade cuidadosamente calibrada de ruído aos dados. Isso ajuda a reduzir o risco de reidentificação individual do usuário no conjunto de dados sem obscurecer os valores de interesse. Usar a [privacidade diferencial do AWS Clean Rooms](https://docs.aws.amazon.com/clean-rooms/latest/userguide/differential-privacy.html) não exige experiência em privacidade diferencial.
+ O [AWS Clean Rooms ML](https://docs.aws.amazon.com/clean-rooms/latest/userguide/machine-learning.html) permite que duas partes identifiquem usuários semelhantes em seus dados sem a necessidade de compartilhar dados diretamente entre si. Isso reduz o risco de ataques de inferência de membros, em que um membro da colaboração pode identificar indivíduos no conjunto de dados do outro membro. Ao criar um modelo semelhante e gerar um segmento semelhante, o AWS Clean Rooms ML ajuda você a comparar conjuntos de dados sem expor os dados originais. Isso não exige que nenhum dos membros tenha experiência em ML ou realize qualquer trabalho fora do AWS Clean Rooms. Você mantém total controle e propriedade do modelo treinado.
+ A [computação criptográfica para o Clean Rooms (C3R)](https://docs.aws.amazon.com/clean-rooms/latest/userguide/crypto-computing.html) pode ser usada com regras de análise para obter insights de dados confidenciais. Ela limita criptograficamente o que qualquer outra parte da colaboração pode saber. Usando o cliente de criptografia C3R, os dados são criptografados no cliente antes de serem fornecidos. AWS Clean Rooms Como as tabelas de dados são criptografadas usando uma ferramenta de criptografia do lado do cliente antes de serem carregadas no Amazon S3, os dados permanecem criptografados e persistem durante o processamento.
No AWS PRA, recomendamos que você crie AWS Clean Rooms colaborações na conta de dados. Você pode usá-las para compartilhar dados criptografados de clientes com terceiros. Use-as somente quando houver uma sobreposição nos conjuntos de dados fornecidos. Para obter mais informações sobre como determinar a sobreposição, consulte [Regra de análise de lista](https://docs.aws.amazon.com/clean-rooms/latest/userguide/analysis-rules-list.html) na AWS Clean Rooms documentação.
## CloudWatch Registros da Amazon
O [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) ajuda você a centralizar os registros de todos os seus sistemas e aplicativos, Serviços da AWS para que você possa monitorá-los e arquivá-los com segurança. Em CloudWatch Registros, você pode usar uma [política de proteção de dados](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-data-protection-policies.html) para grupos de registros novos ou existentes para ajudar a minimizar o risco de divulgação de dados pessoais. As políticas de proteção de dados podem detectar dados sensíveis, como dados pessoais, em seus logs. A política de proteção de dados pode mascarar esses dados quando os usuários acessam os logs por meio do Console de gerenciamento da AWS. Quando os usuários precisam de acesso direto aos dados pessoais, de acordo com a especificação geral da finalidade da sua workload, você pode atribuir permissões `logs:Unmask` para esses usuários. Você também pode criar uma política de proteção de dados para toda a conta e aplicar essa política de forma consistente em todas as contas da sua organização. Isso configura o mascaramento por padrão para todos os grupos de registros atuais e futuros no CloudWatch Logs. Também recomendamos que você habilite os relatórios de auditoria e os envie para outro grupo de logs, um bucket do Amazon S3 ou o Amazon Data Firehose. Esses relatórios contêm um registro detalhado das descobertas de proteção de dados em cada grupo de logs.
## CodeGuru Revisor da Amazon
Tanto para a privacidade quanto para a segurança, é vital para muitas organizações que elas ofereçam suporte à conformidade contínua durante as fases de implantação e pós-implantação. O AWS PRA inclui controles proativos nos pipelines de implantação de aplicações que processam dados pessoais. [O Amazon CodeGuru Reviewer](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) pode detectar possíveis defeitos que possam expor dados pessoais em código Java e JavaScript Python. Ele oferece sugestões aos desenvolvedores para melhorar o código. CodeGuru O revisor pode identificar defeitos em uma ampla variedade de práticas gerais recomendadas de segurança, privacidade e. Ele foi projetado para funcionar com vários provedores de origem AWS CodeCommit, incluindo Bitbucket e Amazon S3. GitHub Alguns dos defeitos relacionados à privacidade que o CodeGuru Revisor pode detectar incluem:
+ Injeção de SQL
+ Cookies não seguros
+ Autorização ausente
+ Recriptografia do lado do cliente AWS KMS
Para obter uma lista completa do que o CodeGuru Reviewer pode detectar, consulte a [Amazon CodeGuru Detector Library](https://docs.aws.amazon.com/codeguru/detector-library/).
## Amazon Comprehend
O [Amazon Comprehend](https://docs.aws.amazon.com/comprehend/latest/dg/what-is.html) é um serviço de processamento de linguagem natural (PLN) que usa machine learning para descobrir insights valiosos e relações em documentos de texto em inglês. O Amazon Comprehend pode detectar e ocultar dados pessoais em documentos de texto estruturados, semiestruturados ou não estruturados. Para obter mais informações, consulte [Personally identifiable information (PII)](https://docs.aws.amazon.com/comprehend/latest/dg/pii.html) na documentação do Amazon Comprehend.
Como o Amazon Comprehend tem muitas opções para integração de aplicativos, você pode AWS SDKs usar o Amazon Comprehend para identificar dados pessoais em vários lugares diferentes onde você coleta, armazena e processa dados. Você pode usar os recursos do Amazon Comprehend ML para detectar e editar dados pessoais em registros de [aplicativos AWS (publicação no](https://aws.amazon.com/blogs/machine-learning/redacting-pii-from-application-log-output-with-amazon-comprehend/) blog), e-mails de clientes, tickets de suporte e muito mais. O diagrama de arquitetura da conta do PD Application mostra como você pode executar essa função para logs de aplicações no Amazon EC2. O Amazon Comprehend oferece dois modos de ocultação:
+ `REPLACE_WITH_PII_ENTITY_TYPE` substitui cada entidade de PII por seus tipos. Por exemplo, **Jane Doe** será substituída por **NAME**.
+ `MASK` substitui os caracteres em entidades de PII por um caractere de sua escolha (\$1, \$1, \$1, %, &, * ou @). Por exemplo, ****Jane Doe**** pode ser substituída por ***\$1\$1\$1\$1 \$1\$1\$1**.
## Amazon Data Firehose
O [Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) pode ser usado para capturar, transformar e carregar dados de streaming em serviços downstream, como o Amazon Managed Service for Apache Flink ou o Amazon S3. O Firehose costuma ser usado para transportar grandes quantidades de dados de streaming, como logs de aplicações, sem precisar criar pipelines de processamento do zero.
Você pode usar as funções do Lambda para realizar um processamento personalizado ou incorporado antes que os dados sejam enviados para o downstream. Para fins de privacidade, esse recurso é compatível com os requisitos de minimização de dados e transferência de dados transfronteiriças. Por exemplo, você pode usar o Lambda e o Firehose para transformar dados de logs de várias regiões antes de serem centralizados na conta do Log Archive. Para obter mais informações, consulte [Biogen: solução de registro centralizada para várias contas](https://www.youtube.com/watch?v=m8xtR3-ZQs8) (vídeo). YouTube Na conta do aplicativo PD, você configura AWS CloudTrail a Amazon CloudWatch e envia os registros para um stream de entrega do Firehose. Uma função do Lambda transforma os logs e os envia para um bucket central do S3 na conta do Log Archive. Você pode configurar a função do Lambda para mascarar campos específicos que contêm dados pessoais. Isso ajuda a evitar a transferência de dados pessoais nas Regiões da AWS. Ao usar essa abordagem, os dados pessoais são mascarados antes da transferência e da centralização, e não depois. Para aplicativos em jurisdições que não estão sujeitas aos requisitos de transferência internacional, normalmente é mais eficiente e econômico do ponto de vista operacional agregar registros por meio da trilha organizacional. CloudTrail Para obter mais informações, consulte [AWS CloudTrail](security-tooling-account.md#aws-cloudtrail) na seção *UO de segurança \$1 Conta do Security Tooling* deste guia.
## Amazon DataZone
À medida que as organizações ampliam sua abordagem de compartilhamento de dados por meio Serviços da AWS de AWS Lake Formation, elas querem garantir que o acesso diferencial seja controlado por aqueles que estão mais familiarizados com os dados: os proprietários dos dados. No entanto, esses proprietários de dados podem estar cientes dos requisitos de privacidade, como consentimento ou considerações sobre transferências de dados transfronteiriças. A [Amazon DataZone](https://docs.aws.amazon.com/datazone/latest/userguide/what-is-datazone.html) ajuda os proprietários de dados e a equipe de governança de dados a compartilhar e consumir dados em toda a organização de acordo com suas políticas de governança de dados. Na Amazon DataZone, as linhas de negócios (LOBs) gerenciam seus próprios dados e um catálogo rastreia essa propriedade. As partes interessadas podem encontrar e solicitar acesso aos dados como parte de suas tarefas de negócios. Desde que siga as políticas estabelecidas pelos publicadores de dados, o proprietário dos dados pode conceder acesso às tabelas subjacentes, sem um administrador ou sem transferir os dados.
Em um contexto de privacidade, a Amazon DataZone pode ser útil nos seguintes exemplos de casos de uso:
+ Uma aplicação voltada para o cliente gera dados de uso que podem ser compartilhados com um LOB de marketing separado. Você precisa garantir que somente os dados dos clientes que optaram pelo marketing sejam publicados no catálogo.
+ Os dados de clientes europeus são publicados, mas só podem ser assinados por pessoas LOBs locais do Espaço Econômico Europeu (EEE). Para obter mais informações, consulte [Melhore a segurança dos dados com controles de acesso refinados na Amazon](https://aws.amazon.com/blogs/big-data/enhance-data-security-with-fine-grained-access-controls-in-amazon-datazone/). DataZone
No AWS PRA, você pode conectar os dados no bucket compartilhado do Amazon S3 à Amazon DataZone como produtor de dados.
## AWS Glue
A manutenção de conjuntos de dados que contêm dados pessoais é um componente essencial da Privacidade por Design. Os dados de uma organização podem existir em formas estruturadas, semiestruturadas ou não estruturadas. Conjuntos de dados pessoais sem estrutura podem dificultar a realização de várias operações de aprimoramento da privacidade, incluindo minimização de dados, rastreamento de dados atribuídos a um único titular de dados como parte de uma solicitação do titular dos dados, garantia de qualidade consistente dos dados e segmentação geral dos conjuntos de dados. O [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html) é um serviço de extração, transformação e carregamento (ETL) totalmente gerenciado. Ele pode ajudá-lo a categorizar, limpar, enriquecer e mover dados entre armazenamentos de dados e fluxos de dados. AWS Glue os recursos são projetados para ajudar você a descobrir, preparar, estruturar e combinar conjuntos de dados para análise, aprendizado de máquina e desenvolvimento de aplicativos. Você pode usar AWS Glue para criar uma estrutura previsível e comum sobre seus conjuntos de dados existentes. AWS Glue Data Catalog, AWS Glue DataBrew, e Qualidade AWS Glue de dados são AWS Glue recursos que podem ajudar a suportar os requisitos de privacidade da sua organização.
### AWS Glue Data Catalog
O [AWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/catalog-and-crawler.html) ajuda você a estabelecer conjuntos de dados sustentáveis. O Catálogo de Dados contém referências a dados que são usados como fontes e destinos para trabalhos de extração, transformação e carregamento (ETL) em AWS Glue. As informações no Catálogo de Dados são armazenadas como tabelas de metadados, em que cada tabela especifica um único armazenamento de dados. Você executa um crawler do AWS Glue para fazer um inventário dos dados em vários tipos de armazenamento de dados. Você adiciona [classificadores integrados e personalizados](https://docs.aws.amazon.com/glue/latest/dg/add-classifier.html) ao crawler, e esses classificadores inferem o formato e o esquema dos dados pessoais. O crawler então grava os metadados no Catálogo de Dados. Uma tabela de metadados centralizada pode facilitar a resposta às solicitações dos titulares dos dados (como o direito ao apagamento), pois agrega estrutura e previsibilidade em diferentes fontes de dados pessoais em seu ambiente. AWS Para obter um exemplo abrangente de como usar o catálogo de dados para responder automaticamente a essas solicitações, consulte Como [lidar com solicitações de eliminação de dados em seu data lake com o Amazon S3 Find and](https://aws.amazon.com/blogs/big-data/handling-data-erasure-requests-in-your-data-lake-with-amazon-s3-find-and-forget/) Forget AWS (postagem no blog). Por fim, se sua organização está usando o [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html) para administrar e fornecer acesso refinado em bancos de dados, tabelas, linhas e células, o Catálogo de Dados é um componente essencial. O Data Catalog fornece compartilhamento de dados entre contas e ajuda você a [usar o controle de acesso baseado em tags para gerenciar seu data lake em grande escala (postagem no](https://aws.amazon.com/blogs/big-data/easily-manage-your-data-lake-at-scale-using-tag-based-access-control-in-aws-lake-formation/)AWS blog). Para obter mais informações, consulte [AWS Lake Formation](#lake-formation) nesta seção.
### AWS Glue DataBrew
O [AWS Glue DataBrew](https://docs.aws.amazon.com/databrew/latest/dg/what-is.html) ajuda você a limpar e normalizar dados e pode realizar transformações nos dados, como remover ou mascarar informações de identificação pessoal e criptografar campos de dados sensíveis em pipelines de dados. Você também pode mapear visualmente a linhagem dos seus dados para entender as várias fontes de dados e as etapas de transformação pelas quais os dados passaram. Esse recurso se torna cada vez mais importante à medida que sua organização trabalha para entender e rastrear melhor a proveniência dos dados pessoais. DataBrew ajuda você a mascarar dados pessoais durante a preparação dos dados. Você pode detectar dados pessoais como parte de um trabalho de criação de perfil de dados e coletar estatísticas, como o número de colunas que podem conter dados pessoais e categorias em potencial. Em seguida, você pode usar técnicas integradas de transformação de dados reversíveis ou irreversíveis, incluindo substituição, hashing, criptografia e decodificação, tudo isso sem escrever nenhum código. Você pode então usar os conjuntos de dados limpos e mascarados downstream para tarefas de analytics, relatórios e machine learning. Algumas das técnicas de mascaramento de dados disponíveis em DataBrew incluem:
+ **Hash**: aplique funções de hash aos valores da coluna.
+ **Substituição**: substitua dados pessoais por outros valores que pareçam autênticos.
+ **Anulação ou exclusão**: substitua um campo específico por um valor nulo, ou exclua a coluna.
+ **Mascaramento**: use o embaralhamento de caracteres ou mascare certas partes nas colunas.
Confira abaixo as técnicas de criptografia disponíveis:
+ **Criptografia determinística**: aplique algoritmos de criptografia determinística aos valores da coluna. A criptografia determinística sempre produz o mesmo texto cifrado para um valor.
+ **Criptografia probabilística**: aplique algoritmos de criptografia probabilística aos valores da coluna. A criptografia probabilística produz texto cifrado diferente toda vez que é aplicada.
Para obter uma lista completa das receitas de transformação de dados pessoais fornecidas em DataBrew, consulte Etapas da receita de [informações de identificação pessoal (PII)](https://docs.aws.amazon.com/databrew/latest/dg/recipe-actions.pii.html).
### AWS Glue Qualidade de dados
AWS Glue A [qualidade de dados](https://docs.aws.amazon.com/glue/latest/dg/glue-data-quality.html) ajuda você a automatizar e operacionalizar a entrega de dados de alta qualidade em todos os pipelines de dados, de forma proativa, antes de serem entregues aos consumidores de dados. AWS Glue O Data Quality fornece análise estatística de problemas de qualidade de dados em seus pipelines de dados, pode [acionar alertas na Amazon EventBridge](https://docs.aws.amazon.com/glue/latest/dg/data-quality-alerts.html) e fazer recomendações de regras de qualidade para remediação. AWS Glue A qualidade de dados também oferece suporte à criação de regras com uma [linguagem específica do domínio](https://docs.aws.amazon.com/glue/latest/dg/dqdl.html) para que você possa criar regras personalizadas de qualidade de dados.
## AWS Key Management Service
[AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) ajuda você a criar e controlar chaves criptográficas para ajudar a proteger seus dados. AWS KMS usa módulos de segurança de hardware para proteger e validar AWS KMS keys sob o Programa de Validação de Módulos Criptográficos FIPS 140-2. Para obter mais informações sobre como esse serviço é usado em um contexto de segurança, consulte o [AWS Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-kms).
AWS KMS se integra à maioria dos Serviços da AWS que oferecem criptografia, e você pode usar chaves KMS em seus aplicativos que processam e armazenam dados pessoais. Você pode usar o AWS KMS para ajudar a atender aos seus diversos requisitos de privacidade e proteger dados pessoais, incluindo:
+ Usar [chaves gerenciadas pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para maior controle da força, rotação, expiração e outras opções.
+ Usar chaves dedicadas gerenciadas pelo cliente para proteger dados pessoais e segredos que permitem acesso a dados pessoais.
+ Definir níveis de classificação de dados e designar pelo menos uma chave dedicada gerenciada pelo cliente por nível. Por exemplo, você pode ter uma chave para criptografar dados operacionais e outra para criptografar dados pessoais.
+ Impedir acesso não intencional entre contas a chaves do KMS.
+ Armazenar chaves KMS dentro do Conta da AWS mesmo recurso a ser criptografado.
+ Implementar a separação de tarefas para a administração e o uso de chaves do KMS. Para obter mais informações, consulte [Como usar o KMS e o IAM para habilitar controles de segurança independentes para dados criptografados no S3](https://aws.amazon.com/blogs/security/how-to-use-kms-and-iam-to-enable-independent-security-controls-for-encrypted-data-in-s3/) (postagem do AWS blog).
+ Impor a rotação automática de chaves por meio de barreiras de proteção preventivas e reativas.
Por padrão, as chaves do KMS são armazenadas e podem ser usadas somente na região em que foram criadas. Se sua organização tem requisitos específicos de residência e soberania de dados, considere se as [chaves de várias regiões do KMS](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) são apropriadas para seu caso de uso. As chaves multirregionais são chaves KMS para fins especiais Regiões da AWS que podem ser usadas de forma intercambiável. O processo de criação de uma chave multirregional move seu material de chave além das Região da AWS fronteiras internas AWS KMS, portanto, essa falta de isolamento regional pode não ser compatível com as metas de soberania e residência de sua organização. Uma forma de resolver essa questão é usar um tipo diferente de chave do KMS, como uma chave gerenciada pelo cliente específica da região.
### Armazenamentos de chaves externas
Para muitas organizações, o armazenamento de AWS KMS chaves padrão no Nuvem AWS pode atender à soberania de dados e aos requisitos regulamentares gerais. Mas alguns podem exigir que as chaves de criptografia sejam criadas e mantidas fora de um ambiente de nuvem e que você tenha caminhos de autorização e auditoria independentes. Com os [armazenamentos de chaves externos](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html) AWS KMS, você pode criptografar dados pessoais com material chave que sua organização possui e controla fora do Nuvem AWS. Você ainda interage com a AWS KMS API normalmente, mas AWS KMS interage somente com o software proxy [externo de armazenamento de chaves (proxy XKS) fornecido](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html#concept-xks-proxy) por você. Seu proxy externo de armazenamento de chaves então medeia toda a comunicação entre AWS KMS e seu gerenciador de chaves externo.
Ao usar um repositório de chaves externo para criptografia de dados, é importante considerar a sobrecarga operacional adicional em comparação com a manutenção das chaves do AWS KMS. Com um repositório de chaves externo, é necessário criar, configurar e manter o repositório de chaves externo. Além disso, se houver erros na infraestrutura adicional que você deve manter, como o proxy XKS, e a conectividade for perdida, os usuários poderão ficar temporariamente impossibilitados de descriptografar e acessar os dados. Trabalhe em estreita colaboração com suas partes interessadas em conformidade e regulamentação para entender as obrigações legais e contratuais da criptografia de dados pessoais e seus contratos de nível de serviço para disponibilidade e resiliência.
## AWS Lake Formation
Muitas organizações que catalogam e categorizam seus conjuntos de dados por meio de catálogos estruturados de metadados desejam compartilhar esses conjuntos de dados em toda a organização. Você pode usar políticas de permissão AWS Identity and Access Management (IAM) para controlar o acesso a conjuntos de dados inteiros, mas geralmente é necessário um controle mais granular para conjuntos de dados que contêm dados pessoais de sensibilidade variável. Por exemplo, a [especificação da finalidade e a limitação de uso](https://www.fpc.gov/resources/fipps/) (site do FPC) podem indicar que uma equipe de marketing precisa acessar os endereços dos clientes, mas uma equipe de ciência de dados não.
Também há desafios de privacidade associados aos [data lakes](https://aws.amazon.com/big-data/datalakes-and-analytics/datalakes/), que centralizam o acesso a grandes quantidades de dados sensíveis em seu formato original. A maioria dos dados de uma organização pode ser acessada de forma centralizada em um só lugar, portanto, a separação lógica dos conjuntos de dados, especialmente aqueles que contêm dados pessoais, pode ser fundamental. O [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html) pode ajudar você a configurar a governança e o monitoramento ao compartilhar dados, sejam eles de uma única fonte ou de várias fontes contidas em um data lake. No AWS PRA, você pode usar o Lake Formation para fornecer controle de acesso refinado aos dados no bucket de dados compartilhado na conta de dados.
Você pode usar o recurso de [controle de acesso baseado em tags](https://docs.aws.amazon.com/lake-formation/latest/dg/tag-based-access-control.html) no Lake Formation. O *controle de acesso baseado em tags* é uma estratégia de autorização que define permissões com base em atributos. No Lake Formation, esses atributos são chamados de *tags do LF*. Usando uma tag LF, você pode anexar essas tags aos bancos de dados, tabelas e colunas do Catálogo de Dados e conceder as mesmas tags às entidades principais do IAM. O Lake Formation permite operações nesses recursos quando a entidade principal teve o acesso concedido a um valor de tag que corresponde ao valor da tag do recurso. A imagem a seguir mostra como você pode atribuir tags LF e permissões para fornecer acesso diferenciado aos dados pessoais.
![\[As tags LF controlam quais colunas da tabela as equipes podem acessar.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/privacy-reference-architecture/images/lake-formation-tags.png)
Este exemplo usa a natureza hierárquica das tags. Ambos os bancos de dados contêm informações de identificação pessoal (`PII:true`), mas as tags no nível colunar limitam colunas específicas a equipes diferentes. Neste exemplo, os diretores do IAM que têm a `PII:true` tag LF podem acessar os recursos do AWS Glue banco de dados que têm essa tag. As entidades principais com a tag LF `LOB:DataScience` podem acessar colunas específicas que têm essa tag, e as entidades principais com a tag LF `LOB:Marketing` podem acessar somente as colunas que têm essa tag. O marketing pode acessar somente as PII relevantes para os casos de uso de marketing, e a equipe de ciência de dados pode acessar somente as PII relevantes para seus casos de uso.
## Zonas locais da AWS
Se precisar cumprir os requisitos de residência de dados, você pode implantar recursos que armazenam e processam dados pessoais de forma específica Regiões da AWS para dar suporte a esses requisitos. Você também pode usar [Zonas locais da AWS](https://docs.aws.amazon.com/local-zones/latest/ug/what-is-aws-local-zones.html), o que ajuda a colocar computação, armazenamento, banco de dados e outros AWS recursos selecionados perto de grandes centros populacionais e setoriais. Uma zona local é uma extensão de uma Região da AWS que está na proximidade geográfica de uma grande área metropolitana. Você pode colocar tipos específicos de recursos em uma zona local, perto da região à qual a zona local corresponde. As zonas locais podem ajudar você a atender aos requisitos de residência de dados quando uma região não está disponível na mesma jurisdição legal. Ao usar zonas locais, considere os controles de residência de dados implantados em sua organização. Por exemplo, você pode precisar de um controle para evitar transferências de dados de uma zona local específica para outra região. Para obter mais informações sobre como usar SCPs para manter as grades de proteção de transferência de dados transfronteiriças, consulte [Melhores práticas para gerenciar a residência de dados no uso de controles de landing Zonas locais da AWS zone](https://aws.amazon.com/blogs/compute/best-practices-for-managing-data-residency-in-aws-local-zones-using-landing-zone-controls/) (AWS postagem no blog).
## AWS Enclaves Nitro
Considere sua estratégia de segmentação de dados de uma perspectiva de processamento, como processamento de dados pessoais com um serviço de computação, como o Amazon Elastic Compute Cloud (Amazon EC2). A computação confidencial como parte de uma estratégia de arquitetura maior pode ajudar a isolar o processamento de dados pessoais em um enclave de CPU isolado, protegido e confiável. Os enclaves são máquinas virtuais separadas, reforçadas e altamente restritas. [AWS Nitro Enclaves](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave.html) é um recurso do Amazon EC2 que pode ajudar você a criar esses ambientes computacionais isolados. Para obter mais informações, consulte [O design de segurança do sistema AWS Nitro](https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/security-design-of-aws-nitro-system.html) (AWS white paper).
O Nitro Enclaves implementa um kernel separado do kernel da instância principal. O kernel da instância principal não tem acesso ao enclave. Os usuários não podem usar SSH ou acessar remotamente os dados e aplicações no enclave. As aplicações que processam dados pessoais podem ser incorporados ao enclave e configurados para usar o [Vsock](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave-concepts.html#term-socket) do enclave, o soquete que facilita a comunicação entre o enclave e a instância principal.
Um caso de uso em que o Nitro Enclaves pode ser útil é o processamento conjunto entre dois processadores de dados que estão separados Regiões da AWS e que podem não confiar um no outro. A imagem a seguir mostra como você pode usar um enclave para processamento central, uma chave do KMS para criptografar os dados pessoais antes de serem enviados ao enclave e uma política de AWS KMS key que verifica se o enclave que está solicitando a descriptografia tem as medidas exclusivas em seu documento de atestado. Para obter mais informações e instruções, consulte [Usando o atestado criptográfico com](https://docs.aws.amazon.com/enclaves/latest/user/kms.html). AWS KMS Para ver um exemplo de política de chave, consulte [Exigir atestado para usar uma chave AWS KMS](require-attestation-for-kms-key.md) neste guia.
![\[Usando o AWS Nitro Enclave para processar dados criptografados em buckets do Amazon S3 em contas diferentes.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/privacy-reference-architecture/images/nitro-enclave.png)
Com essa implementação, somente os respectivos processadores de dados e o enclave subjacente têm acesso aos dados pessoais em texto simples. O único lugar onde os dados são expostos, fora dos ambientes dos respectivos processadores de dados, é no próprio enclave, projetado para impedir o acesso e a adulteração.
## AWS PrivateLink
Muitas organizações querem limitar a exposição de dados pessoais a redes não confiáveis. Por exemplo, se você quiser aprimorar a privacidade do design geral da arquitetura do aplicativo, poderá segmentar redes com base na sensibilidade dos dados (semelhante à separação lógica e física dos conjuntos de dados discutida na [Serviços da AWS e recursos que ajudam a segmentar dados](#segment-data) seção). [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)ajuda você a criar conexões unidirecionais e privadas de suas nuvens privadas virtuais (VPCs) para serviços fora da VPC. Usando o AWS PrivateLink, você pode configurar conexões privadas dedicadas aos serviços que armazenam ou processam dados pessoais em seu ambiente. Não há necessidade de se conectar a endpoints públicos e transferir esses dados por redes públicas não confiáveis. Quando você ativa pontos de extremidade de AWS PrivateLink serviço para os serviços dentro do escopo, não há necessidade de um gateway de internet, dispositivo NAT, endereço IP público, AWS Direct Connect conexão ou AWS Site-to-Site VPN conexão para se comunicar. Ao se conectar AWS PrivateLink a um serviço que fornece acesso a dados pessoais, você pode usar políticas de endpoint de VPC e grupos de segurança para controlar o acesso, de acordo com a definição do perímetro de [dados](https://aws.amazon.com/identity/data-perimeters-on-aws/) da sua organização. Para ver um exemplo de política de VPC endpoint que permite que somente os princípios e AWS recursos do IAM em uma organização confiável acessem um endpoint de serviço, consulte [Exigir associação à organização para acessar os recursos da VPC](require-organization-membership.md) este guia.
## AWS Resource Access Manager
[AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) ajuda você a compartilhar seus recursos com segurança Contas da AWS para reduzir a sobrecarga operacional e fornecer visibilidade e auditabilidade. Ao planejar sua estratégia de segmentação de várias contas, considere usar AWS RAM para compartilhar os armazenamentos de dados pessoais que você armazena em uma conta separada e isolada. Você pode compartilhar esses dados pessoais com outras contas confiáveis para fins de processamento. Em AWS RAM, você pode [gerenciar permissões](https://docs.aws.amazon.com/ram/latest/userguide/security-ram-permissions.html) que definem quais ações podem ser executadas em recursos compartilhados. Todas as chamadas de API para AWS RAM estão logadas CloudTrail. Além disso, você pode configurar o Amazon CloudWatch Events para notificá-lo automaticamente sobre eventos específicos AWS RAM, como quando são feitas alterações em um compartilhamento de recursos.
Embora você possa compartilhar muitos tipos de AWS recursos com outras pessoas Contas da AWS usando políticas baseadas em recursos no IAM ou políticas de bucket no Amazon S3 AWS RAM , oferece vários benefícios adicionais para a privacidade. AWS fornece aos proprietários de dados visibilidade adicional sobre como e com quem os dados são compartilhados entre você Contas da AWS, incluindo:
+ Ser capaz de compartilhar um recurso com uma OU inteira em vez de atualizar manualmente as listas de contas IDs
+ Aplicação do processo de convite para iniciar o compartilhamento se a conta do consumidor não fizer parte da sua organização
+ Visibilidade de quais entidades principais específicas do IAM têm acesso a cada recurso individual
Se você já usou uma política baseada em recursos para gerenciar um compartilhamento de recursos e quiser usá-la AWS RAM em vez disso, use a operação da [PromoteResourceShareCreatedFromPolicy](https://docs.aws.amazon.com/ram/latest/APIReference/API_PromoteResourceShareCreatedFromPolicy.html)API.
## SageMaker IA da Amazon
O [Amazon SageMaker AI](https://aws.amazon.com/blogs/machine-learning/implement-model-independent-safety-measures-with-amazon-bedrock-guardrails/) é um serviço gerenciado de aprendizado de máquina (ML) que ajuda você a criar e treinar modelos de ML e depois implantá-los em um ambiente hospedado pronto para produção. SageMaker A IA foi projetada para facilitar a preparação de dados de treinamento e a criação de recursos de modelo.
### Monitor de SageMaker modelo Amazon
Muitas organizações consideram o desvio de dados ao treinar modelos de ML. Um desvio de dados é uma variação significativa entre os dados de produção e os dados usados para treinar um modelo de ML, ou uma alteração significativa nos dados de entrada ao longo do tempo. O desvio de dados pode reduzir a qualidade geral, a precisão e a imparcialidade das previsões do modelo de ML. Se a natureza estatística dos dados que o modelo de ML recebe durante a produção se desviar da natureza dos dados da linha de base em que foi treinado, a precisão de suas predições pode diminuir. [O Amazon SageMaker Model Monitor](https://docs.aws.amazon.com/sagemaker/latest/dg/model-monitor.html) pode monitorar continuamente a qualidade dos modelos de aprendizado de máquina de SageMaker IA da Amazon em produção e monitorar a qualidade dos dados. A detecção antecipada e proativa do desvio de dados pode ajudar a implementar ações corretivas, como modelos de reciclagem, auditoria de sistemas upstream ou correção de problemas de qualidade de dados. O Model Monitor pode aliviar a necessidade de monitorar modelos manualmente ou criar ferramentas adicionais.
### Amazon SageMaker Clarify
[O Amazon SageMaker Clarify](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html) fornece uma visão sobre o viés e a explicabilidade do modelo. SageMaker O Clarify é comumente usado durante a preparação dos dados do modelo de ML e na fase geral de desenvolvimento. Os desenvolvedores podem especificar atributos de interesse, como sexo ou idade, e o SageMaker Clarify executa um conjunto de algoritmos para detectar qualquer presença de viés nesses atributos. Depois que o algoritmo é executado, o SageMaker Clarify fornece um relatório visual com uma descrição das fontes e medidas de possíveis distorções para que você possa identificar as etapas para remediar a distorção. Por exemplo, em um conjunto de dados financeiros que contém apenas alguns exemplos de empréstimos comerciais para uma faixa etária em comparação com outras, SageMaker poderia sinalizar desequilíbrios para que você possa evitar um modelo que desfavoreça essa faixa etária. Você também pode verificar se há viés em modelos já treinados revisando suas predições e monitorando continuamente esses modelos de ML em busca de viés. Por fim, o SageMaker Clarify é integrado ao [Amazon SageMaker AI Experiments](https://docs.aws.amazon.com/sagemaker/latest/dg/experiments.html) para fornecer um gráfico que explica quais recursos contribuíram mais para o processo geral de previsão de um modelo. Essas informações podem ser úteis para obter resultados de explicabilidade, e podem ajudar a determinar se uma entrada específica do modelo tem mais influência do que deveria no comportamento geral do modelo.
### Cartão SageMaker modelo Amazon
[O Amazon SageMaker Model Card](https://docs.aws.amazon.com/sagemaker/latest/dg/model-cards.html) pode ajudá-lo a documentar detalhes críticos sobre seus modelos de ML para fins de governança e emissão de relatórios. Esses detalhes podem incluir o proprietário do modelo, o propósito geral, os casos de uso pretendidos, suposições feitas, classificação de risco de um modelo, detalhes e métricas de treinamento e resultados da avaliação. Para obter mais informações, consulte [Explicabilidade do modelo com soluções de inteligência AWS artificial e aprendizado de máquina](https://docs.aws.amazon.com/whitepapers/latest/model-explainability-aws-ai-ml/model-explainability-aws-ai-ml.html) (AWS whitepaper).
### Amazon SageMaker Data Wrangler
[O Amazon SageMaker Data Wrangler](https://aws.amazon.com/sagemaker/data-wrangler/) é uma ferramenta de aprendizado de máquina que ajuda a otimizar o processo de preparação de dados e engenharia de recursos. Ele fornece uma interface visual que ajuda cientistas de dados e engenheiros de machine learning a preparar e transformar dados de forma rápida e fácil para uso em modelos de machine learning. Com o Data Wrangler, você pode importar dados de várias fontes, como Amazon S3, Amazon Redshift e Amazon Athena. Em seguida, você pode usar mais de 300 transformações de dados integradas para limpar, normalizar e combinar atributos sem precisar escrever nenhum código.
O Data Wrangler pode ser usado como parte do processo de preparação de dados e engenharia de recursos no PRA AWS . Ele suporta criptografia de dados em repouso e em trânsito usando AWS KMS, e usa funções e políticas do IAM para controlar o acesso a dados e recursos. Ele suporta o mascaramento de dados por meio da AWS Glue [Amazon SageMaker Feature Store](https://docs.aws.amazon.com/sagemaker/latest/dg/feature-store.html). Se você integrar o Data Wrangler com AWS Lake Formation, poderá aplicar controles e permissões de acesso a dados refinados. Você pode até mesmo usar o Data Wrangler com o Amazon Comprehend para ocultar automaticamente dados pessoais de dados tabulares como parte de seu fluxo de trabalho mais amplo de operações de ML. Para obter mais informações, consulte [Editar automaticamente PII para aprendizado de máquina usando o Amazon SageMaker Data Wrangler](https://aws.amazon.com/blogs/machine-learning/automatically-redact-pii-for-machine-learning-using-amazon-sagemaker-data-wrangler/) (AWS postagem no blog).
A versatilidade do Data Wrangler ajuda você a mascarar dados sensíveis de muitos setores, como números de contas, números de cartão de crédito, números de previdência social, nomes de pacientes e registros médicos e militares. Você pode limitar o acesso a quaisquer dados sensíveis ou optar por ocultá-los.
## AWS recursos que ajudam a gerenciar o ciclo de vida dos dados
Quando os dados pessoais não são mais necessários, você pode usar o ciclo de vida e as time-to-live políticas para dados em vários armazenamentos de dados diferentes. Ao configurar políticas de retenção de dados, considere os seguintes locais que podem conter dados pessoais:
+ Bancos de dados, como o Amazon DynamoDB e o Amazon Relational Database Service (Amazon RDS)
+ Buckets do Amazon S3
+ Registros de CloudWatch e CloudTrail
+ Dados em cache de migrações em AWS Database Migration Service (AWS DMS) e projetos AWS Glue DataBrew
+ Backups e snapshots
O seguinte Serviços da AWS e os recursos a seguir podem ajudá-lo a configurar políticas de retenção de dados em seus AWS ambientes:
+ [Amazon S3 Lifecycle](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html): um conjunto de regras que define as ações que o Amazon S3 aplica a um grupo de objetos. Na configuração do Amazon S3 Lifecyle, você pode criar ações de expiração, que definem quando o Amazon S3 exclui objetos expirados em seu nome. Para obter mais informações, consulte [Gerenciar seu ciclo de vida de armazenamento](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html).
+ [Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/snapshot-lifecycle.html) — No Amazon EC2, crie uma política que automatize a criação, retenção e exclusão de snapshots do Amazon Elastic Block Store (Amazon EBS) e Amazon Machine Images () apoiados pelo EBS. AMIs
+ [Tempo de vida (TTL) do Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/TTL.html): define um carimbo por item que determina quando um item não é mais necessário. Pouco depois da data e hora do carimbo especificado, o DynamoDB exclui o item da tabela.
+ [Configurações de retenção de CloudWatch registros em Registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) — Você pode ajustar a política de retenção de cada grupo de registros para um valor entre 1 dia e 10 anos.
+ [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html)— implante centralmente políticas de proteção de dados para configurar, gerenciar e governar sua atividade de backup em uma variedade de AWS recursos, incluindo buckets S3, instâncias de banco de dados RDS, tabelas do DynamoDB, volumes do EBS e muito mais. Aplique políticas de backup aos seus AWS recursos especificando os tipos de recursos ou forneça granularidade adicional aplicando com base nas tags de recursos existentes. Audite e gere relatórios sobre a atividade de backup em um console centralizado para ajudar a atender aos requisitos de conformidade de backup.
## Serviços da AWS e recursos que ajudam a segmentar dados
A segmentação de dados é o processo pelo qual você armazena dados em contêineres separados. Isso pode ajudar você a fornecer medidas diferenciadas de segurança e autenticação para cada conjunto de dados e a reduzir o escopo do impacto da exposição em seu conjunto de dados geral. Por exemplo, em vez de armazenar todos os dados do cliente em um grande banco de dados, você pode segmentar esses dados em grupos menores e mais gerenciáveis.
Você pode usar a separação física e lógica para segmentar dados pessoais:
+ **Separação física**: o ato de armazenar dados em armazenamentos de dados separados ou distribuí-los em recursos da AWS separados. Embora os dados estejam fisicamente separados, os dois recursos podem estar acessíveis para as mesmas entidades principais. É por isso que recomendamos combinar separação física com separação lógica.
+ **Separação lógica**: o ato de isolar dados usando controles de acesso. Diferentes funções de trabalho exigem diferentes níveis de acesso a subconjuntos de dados pessoais. Para conferir um exemplo de política que implementa a separação lógica, consulte [Conceder acesso a atributos específicos do Amazon DynamoDB](grant-access-dynamodb-attributes.md) neste guia.
A combinação de uma separação lógica e física fornece flexibilidade, simplicidade e granularidade ao escrever políticas baseadas em identidade e recursos para oferecer suporte ao acesso diferenciado em todas as funções de trabalho. Por exemplo, pode ser operacionalmente complexo criar políticas que separem logicamente diferentes classificações de dados em um único bucket do S3. O uso de buckets do S3 dedicados para cada classificação de dados simplifica a configuração e o gerenciamento de políticas.
## Serviços da AWS e recursos que ajudam a descobrir, classificar ou catalogar dados
Algumas organizações ainda não começaram a usar ferramentas de extração, transformação e carregamento (ETL) em seu ambiente para catalogar proativamente seus dados. Esses clientes podem estar em um estágio inicial de descoberta de dados, em que desejam entender melhor os dados que armazenam e processam AWS e como eles são estruturados e classificados. Você pode usar o [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/data-classification.html) para entender melhor seus dados de PII no Amazon S3. No entanto, o Amazon Macie não pode ajudar você a analisar outras fontes de dados, como o Amazon Relational Database Service (Amazon RDS) e o Amazon Redshift. Você pode usar duas abordagens para acelerar a descoberta inicial no começo de um [exercício maior de mapeamento de dados](https://securiti.ai/blog/evolve-your-data-mapping/):
+ **Abordagem manual**: crie uma tabela com duas colunas e quantas linhas você precisar. Na primeira coluna, escreva uma caracterização de dados (como nome de usuário, endereço ou sexo) que pode estar no cabeçalho ou no corpo de um pacote de rede ou em qualquer serviço que você forneça. Peça à sua equipe de conformidade que preencha a segunda coluna. Na segunda coluna, insira “sim” se os dados forem considerados pessoais e “não” se não forem. Indique qualquer tipo de dado pessoal considerado particularmente sensível, como denominação religiosa ou dados de saúde.
+ **Abordagem automatizada**: use as ferramentas fornecidas por meio do AWS Marketplace. Uma dessas ferramentas é a [Securiti](https://securiti.ai/). Essas soluções oferecem integrações que permitem digitalizar e descobrir dados em vários tipos de recursos da AWS , bem como ativos em outras plataformas de serviços em nuvem. Muitas dessas mesmas soluções podem coletar e manter continuamente um inventário de ativos de dados e atividades de processamento de dados em um catálogo de dados centralizado. Se você depende de uma ferramenta para realizar a classificação automatizada, talvez seja necessário ajustar as regras de descoberta e classificação para se alinhar à definição de dados pessoais da sua organização.