En esta página, se describe el descubrimiento de Sensitive Data Protection para su uso con Amazon S3. Esta función solo está disponible para los clientes que activaron Security Command Center en el nivel Enterprise.
El descubrimiento de Sensitive Data Protection te ayuda a obtener información sobre los tipos de datos que almacenas en S3 y los niveles de sensibilidad de tus datos. Cuando creas perfiles de tus datos de S3, generas perfiles de datos de almacén de archivos, que proporcionan estadísticas y metadatos sobre tus buckets de S3. Para cada bucket de S3, un perfil de datos de almacenamiento de archivos incluye la siguiente información:
- Los tipos de archivos que almacenas en el bucket, clasificados en clúster de archivos
- El nivel de sensibilidad de los datos en el bucket
- Un resumen de cada clúster de archivos detectado, incluidos los tipos de información sensible que se encontraron
Para obtener una lista completa de las estadísticas y los metadatos de cada perfil de datos de almacén de archivos, consulta Perfiles de datos de almacén de archivos.
Para obtener más información sobre el servicio de descubrimiento, consulta Perfiles de datos.
Flujo de trabajo
El flujo de trabajo de alto nivel para crear perfiles de datos de Amazon S3 es el siguiente:
En Security Command Center, crea un conector para Amazon Web Services (AWS). Asegúrate de seleccionar la casilla de verificación Otorgar permisos para el descubrimiento de Sensitive Data Protection y sigue las instrucciones para configurar el conector con permisos de descubrimiento de datos sensibles.
Si ya tienes un conector que no tiene seleccionada la opción Otorgar permisos para el descubrimiento de Sensitive Data Protection, consulta Otorga permisos de descubrimiento de datos sensibles a un conector de AWS existente.
Crea una plantilla de inspección en la región
globalo en la región en la que planeas almacenar la configuración de análisis de descubrimiento y todos los perfiles de datos generados.Crea una configuración de análisis de descubrimiento para Amazon S3.
La Protección de datos sensibles genera perfiles de tus datos según el programa que especifiques.
Precios
Cuando creas perfiles de datos de Amazon S3, se aplican los cargos de Protección de datos sensibles que se indican en los precios de Discovery. Además, AWS te cobra por las solicitudes que realiza Sensitive Data Protection y por las transferencias de datos de S3 a Internet.
Cuando el servicio de descubrimiento crea perfiles de tus datos, analiza una muestra de los datos en tu bucket de S3. El descubrimiento usa métodos heurísticos para determinar cuántos datos se deben muestrear en cada bucket y dentro de archivos específicos. En este proceso, algunos datos se transfieren a Google Cloud y se inspeccionan con el servicio de inspección de contenido de Protección de datos sensibles. En la mayoría de los casos, si no hay errores intermitentes, los datos transferidos y analizados para cada bucket no superan los 30 GB. Los datos muestreados para cada bucket pueden ser de menos de 30 GB.
Solicitudes de Sensitive Data Protection
Sensitive Data Protection realiza las siguientes operaciones en el proceso de perfilación de tus buckets de S3:
- Alrededor de 50 solicitudes de
LISTpor día por bucket de S3 perfilado - Alrededor de 10 solicitudes de
GETpor archivo en un bucket perfilado Por lo general, Sensitive Data Protection realiza menos de 100,000 llamadas aGET. No dependas de este valor cuando realices optimizaciones en función del costo, ya que podría cambiar en el futuro.
El precio que AWS cobra por 1,000 solicitudes difiere según la región del bucket de S3. Para obtener más información, consulta Solicitudes y recuperaciones de datos en la documentación de precios de Amazon S3.
Transferencias de datos de S3 a Internet
Cuando la Protección de datos sensibles perfila datos de S3, se considera que los datos se transfieren de S3 a Internet. Es posible que se apliquen cargos de AWS. Para obtener más información, consulta Transferencia de datos fuera de Amazon S3 a Internet en la documentación de precios de Amazon S3.
Cálculos de ejemplo
Supongamos que quieres generar perfiles de 10 buckets de S3 estándar en el este de EE.UU. (N. Virginia). Puedes estimar los costos de Amazon que se relacionan directamente con la operación de descubrimiento de la siguiente manera.
Ejemplo: Solicitudes y recuperaciones de datos
| Cantidad estimada de solicitudes por bucket | Cantidad estimada de solicitudes para 10 buckets | Tarifa de Amazon | Subtotal | |
|---|---|---|---|---|
LIST |
50 | 500 | USD 0.005 por 1,000 llamadas | 0.005 |
GET |
28,000 | 280,000 | USD 0.0004 por 1,000 llamadas | 0.112 |
| Total | 0.117 |
Ejemplo: Transferencia de datos desde Amazon S3 a Internet
| Datos muestreados por bucket |
Tarifa de Amazon | Precio por bucket |
|---|---|---|
| Hasta 30 GB | USD 0.09 por GB | Hasta USD 2.70 |
Consideraciones sobre la residencia de los datos
Ten en cuenta lo siguiente cuando planifiques crear perfiles de datos de Amazon S3:
Los perfiles de datos se almacenan junto con la configuración del análisis de descubrimiento. En cambio, cuando creas perfiles de datos de Google Cloud, los perfiles se almacenan en la misma región que los datos de los que se crearán los perfiles.
Si almacenas tu plantilla de inspección en la región
global, se lee una copia en la memoria de esa plantilla en la región donde almacenas la configuración del análisis de descubrimiento.Tus datos de S3 no se modifican. Se lee una copia en la memoria de tus datos en la región donde almacenas la configuración del análisis de descubrimiento. Sin embargo, la Protección de datos sensibles no brinda garantías sobre por dónde pasan los datos después de llegar a Internet público. Los datos se encriptan con SSL.