O Cloud Data Loss Prevention (Cloud DLP) agora faz parte da Proteção de dados sensíveis. O nome da API continua o mesmo: API Cloud Data Loss Prevention (API DLP). Para saber mais sobre os serviços que compõem a Proteção de dados sensíveis, consulte Visão geral da Proteção de dados sensíveis.

Esta página foi traduzida pela API Cloud Translation.

Descoberta de dados sensíveis para o Amazon S3

Esta página descreve a descoberta da Proteção de Dados Sensíveis para uso com o Amazon S3. Esse recurso está disponível apenas para clientes que ativaram o Security Command Center no nível Enterprise.

A descoberta da proteção de dados sensíveis ajuda você a saber mais sobre os tipos de dados que você está armazenando no S3 e os níveis de sensibilidade dos dados. Ao criar o perfil dos dados do S3, você gera perfis de dados do repositório de arquivos, que fornecem insights e metadados sobre seus buckets do S3. Para cada bucket do S3, um perfil de dados de armazenamento de arquivos inclui as seguintes informações:

Os tipos de arquivos que você está armazenando no bucket, categorizados em clusters de arquivos
O nível de sensibilidade dos dados no bucket
Um resumo sobre cada cluster de arquivos detectado, incluindo os tipos de informações sensíveis encontradas

Para conferir uma lista completa de insights e metadados em cada perfil de dados do repositório de arquivos, consulte Perfis de dados do repositório de arquivos.

Para mais informações sobre o serviço de descoberta, consulte Perfis de dados.

Fluxo de trabalho

O fluxo de trabalho de alto nível para criar perfis de dados do Amazon S3 é o seguinte:

No Security Command Center, crie um conector para a Amazon Web Services (AWS). Selecione a caixa de seleção Atribuir permissões para o serviço de descoberta de Proteção de Dados Sensíveis e siga as instruções para configurar o conector com permissões de descoberta de dados sensíveis.

Se você já tiver um conector sem a opção Atribuir permissões para a descoberta de Proteção de Dados Sensíveis selecionada, consulte Atribuir permissões de descoberta de dados sensíveis a um conector da AWS.
Crie um modelo de inspeção na região global ou na região em que você planeja armazenar a configuração de verificação de descoberta e todos os perfis de dados gerados.
Crie uma configuração de verificação de descoberta para o Amazon S3.

A Proteção de dados sensíveis cria perfis dos seus dados de acordo com a programação especificada.

Preços

Ao criar perfis de dados do Amazon S3, você incorre nas taxas de Proteção de dados sensíveis listadas na página de preços do Discovery. Além disso, a AWS cobra por solicitações que a Proteção de Dados Sensíveis faz e por transferências de dados do S3 para a Internet.

Quando o serviço de descoberta cria o perfil dos seus dados, ele verifica uma amostra dos dados no seu bucket do S3. A descoberta usa métodos heurísticos para determinar quantos dados devem ser amostrados em cada bucket e em arquivos específicos. Nesse processo, alguns dados são transferidos para o Google Cloud e inspecionados usando o serviço de inspeção de conteúdo da Proteção de dados sensíveis. Na maioria dos casos, se não houver erros intermitentes, os dados transferidos e verificados para cada bucket não vão exceder 30 GB. Os dados amostrados para cada bucket podem ter menos de 30 GB.

Solicitações da Proteção de dados sensíveis

A Proteção de Dados Sensíveis executa as seguintes operações no processo de criação de perfil dos seus buckets do S3:

Cerca de 50 solicitações LIST por dia por bucket do S3 com perfil.
Cerca de 10 solicitações de GET por arquivo em um bucket com perfil. A Proteção de Dados Sensíveis geralmente faz menos de 100.000 chamadas GET. Não confie nesse valor ao otimizar para custo. Esse valor pode mudar no futuro.

O preço que a AWS cobra por 1.000 solicitações varia de acordo com a região do bucket do S3. Para mais informações, consulte Solicitações e recuperações de dados na documentação de preços do Amazon S3.

Transferências de dados do S3 para a Internet

Quando a Proteção de dados sensíveis cria perfis de dados do S3, os dados são considerados transferidos do S3 para a Internet. Sujeito a cobranças da AWS. Para mais informações, consulte Transferência de dados do Amazon S3 para a Internet na documentação de preços do Amazon S3.

Cálculos de exemplo

Suponha que você queira criar um perfil de 10 buckets do S3 Standard na região dos EUA Leste (N. Virgínia) É possível estimar os custos da Amazon que estão diretamente relacionados à operação de descoberta da seguinte maneira:

Exemplo: solicitações e recuperações de dados

	Número estimado de solicitações por bucket	Número estimado de solicitações para 10 buckets	Taxa da Amazon	Subtotal
`LIST`	50	500	US$ 0,005 por 1.000 chamadas	0,005
`GET`	28.000	280.000	US$ 0,0004 por 1.000 chamadas	0,112
Total				0,117

Exemplo: transferência de dados do Amazon S3 para a Internet

Dados amostrados por bucket	Taxa da Amazon	Preço por bucket
Até 30 GB	US$ 0,09 por GB	Até US $2,70

Considerações sobre a residência de dados

Considere o seguinte ao planejar o perfil dos dados do Amazon S3:

Os perfis de dados são armazenados com a configuração da verificação de descoberta. Por outro lado, quando você cria perfis de dados do Google Cloud, eles são armazenados na mesma região dos dados a serem criados.
Se você armazenar o modelo de inspeção na região global, uma cópia na memória desse modelo será lida na região em que você armazena a configuração de verificação de descoberta.
Seus dados do S3 não são modificados. Uma cópia dos dados na memória é lida na região em que você armazena a configuração da verificação de descoberta. No entanto, a Proteção de dados sensíveis não garante onde os dados passam depois de chegar à Internet pública. Os dados são criptografados com SSL.

A seguir

Criar perfil dos dados do Amazon S3