En esta página se describe la detección de Protección de Datos Sensibles para usarla con Amazon S3. Esta función solo está disponible para los clientes que hayan activado Security Command Center en el nivel Enterprise.
El descubrimiento de Protección de Datos Sensibles te ayuda a conocer los tipos de datos que almacenas en S3 y los niveles de sensibilidad de tus datos. Cuando creas perfiles de tus datos de S3, generas perfiles de datos de almacén de archivos, que proporcionan estadísticas y metadatos sobre tus segmentos de S3. En cada uno de los contenedores de S3, el perfil de datos de un almacén de archivos incluye la siguiente información:
- Los tipos de archivos que almacenas en el contenedor, categorizados en clústeres de archivos
- El nivel de sensibilidad de los datos del segmento
- Un resumen de cada clúster de archivos detectado, incluidos los tipos de información sensible encontrados
Para ver una lista completa de las estadísticas y los metadatos de cada perfil de datos de almacén de archivos, consulta Perfiles de datos de almacén de archivos.
Para obtener más información sobre el servicio de descubrimiento, consulta Perfiles de datos.
Flujo de trabajo
El flujo de trabajo general para crear perfiles de datos de Amazon S3 es el siguiente:
En Security Command Center, crea un conector para Amazon Web Services (AWS). Asegúrate de seleccionar la casilla Grant permissions for Sensitive Data Protection discovery (Conceder permisos para la detección de datos sensibles) y sigue las instrucciones para configurar el conector con permisos de detección de datos sensibles.
Si ya tiene un conector que no tiene seleccionada la opción Conceder permisos para la detección de Sensitive Data Protection, consulte Conceder permisos de detección de datos sensibles a un conector de AWS.
Crea una plantilla de inspección en la región
globalo en la región en la que quieras almacenar la configuración de análisis de descubrimiento y todos los perfiles de datos generados.Crea una configuración de análisis de detección para Amazon S3.
Protección de Datos Sensibles crea perfiles de tus datos según la programación que especifiques.
Precios
Cuando creas perfiles de datos de Amazon S3, AWS te cobra por las solicitudes que hace Protección de Datos Sensibles y por las transferencias de datos de S3 a Internet.
Cuando el servicio de detección crea perfiles de tus datos, analiza una muestra de los datos de tu segmento de S3. Discovery usa métodos heurísticos para determinar la cantidad de datos que se deben muestrear en cada contenedor y en archivos específicos. En este proceso, algunos datos se transfieren a Google Cloud y se inspeccionan mediante el servicio de inspección de contenido de Protección de Datos Sensibles. En la mayoría de los casos, si no hay errores intermitentes, los datos transferidos y analizados de cada contenedor no superan los 30 GB. Los datos muestreados de cada contenedor pueden ser inferiores a 30 GB.
Solicitudes de Protección de Datos Sensibles
Protección de Datos Sensibles realiza las siguientes operaciones durante el proceso de creación de perfiles de sus cubos de S3:
- Unas 50
LISTsolicitudes al día por cada segmento de S3 con perfil. - Unas 4
GETsolicitudes por archivo para un máximo de 7000 archivos en un contenedor perfilado. Protección de Datos Sensibles suele hacer menos de 100.000 llamadasGET. No te fíes de este valor al optimizar los costes, ya que podría cambiar en el futuro.
El precio que cobra AWS por cada 1000 solicitudes varía en función de la región del cubo de S3. Para obtener más información, consulta Solicitudes y recuperaciones de datos en la documentación sobre los precios de Amazon S3.
Transferencias de datos de S3 a Internet
Cuando Protección de Datos Sensibles crea perfiles de datos de S3, se considera que los datos se transfieren de S3 a Internet. Pueden aplicarse cargos de AWS. Para obtener más información, consulta la sección Transferencia de datos de salida de Amazon S3 a Internet de la documentación de precios de Amazon S3.
Ejemplos de cálculos
Supongamos que quiere crear un perfil de 10 segmentos de S3 Standard en el este de EE. UU. (N. Virginia). Puedes estimar los costes de Amazon que están directamente relacionados con la operación de descubrimiento de la siguiente manera.
Ejemplo: solicitudes y recuperaciones de datos
| Número estimado de solicitudes por contenedor | Número estimado de solicitudes de 10 segmentos | Tarifa de Amazon | Subtotal | |
|---|---|---|---|---|
LIST |
50 | 500 | 0,005 USD por cada 1000 llamadas | 0,005 |
GET |
28.000 | 280.000 | 0,0004 USD por cada 1000 llamadas | 0,112 |
| Total | 0,117 |
Ejemplo: Transferencia de datos de Amazon S3 a Internet
| Datos muestreados por contenedor |
Tarifa de Amazon | Precio por contenedor |
|---|---|---|
| Hasta 30 GB | 0,09 USD por GB | Hasta 2,70 $ |
Consideraciones sobre la residencia de datos
Ten en cuenta lo siguiente cuando quieras crear perfiles de datos de otros proveedores de servicios en la nube:
- Los perfiles de datos se almacenan junto con la configuración del análisis de detección. Por el contrario, cuando se crea un perfil de Google Cloud datos, los perfiles se almacenan en la misma región que los datos de los que se va a crear el perfil.
- Si almacenas tu plantilla de inspección en la región
global, se leerá una copia en memoria de esa plantilla en la región en la que almacenes la configuración del análisis de descubrimiento. - Tus datos no se modifican. Se lee una copia en memoria de tus datos en la región en la que almacenas la configuración del análisis de descubrimiento. Sin embargo, Protección de Datos Sensibles no ofrece ninguna garantía sobre la ruta que siguen los datos una vez que llegan a Internet público. Los datos se cifran con SSL.