Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Den Schutz vertraulicher Protokolldaten mit Maskierung unterstützen
Mithilfe von Datenschutzrichtlinien für Protokollgruppen können Sie dazu beitragen, sensible Daten, die in CloudWatch Logs aufgenommen werden, zu schützen. Mit diesen Richtlinien können Sie sensible Daten prüfen und maskieren, die in Protokollereignissen vorkommen, die von den Protokollgruppen in Ihrem Konto erfasst werden.
Wenn Sie eine Datenschutzrichtlinie erstellen, werden vertrauliche Daten, die den von Ihnen ausgewählten Datenkennungen entsprechen, standardmäßig an allen Ausgangspunkten maskiert, einschließlich CloudWatch Logs Insights, Metrikfiltern und Abonnementfiltern. Nur Benutzer, die über die logs:Unmask
IAM entsprechende Berechtigung verfügen, können unmaskierte Daten einsehen.
Sie können eine Datenschutzrichtlinie für alle Protokollgruppen in Ihrem Konto erstellen, und Sie können auch eine Datenschutzrichtlinie für einzelne Protokollgruppen erstellen. Wenn Sie eine Richtlinie für Ihr gesamtes Konto erstellen, gilt sie sowohl für bestehende Protokollgruppen als auch für Protokollgruppen, die in Zukunft erstellt werden.
Wenn Sie eine Datenschutzrichtlinie für Ihr gesamtes Konto und gleichzeitig eine Richtlinie für eine einzelne Protokollgruppe erstellen, gelten beide Richtlinien für diese Protokollgruppe. Alle verwalteten Datenidentifikatoren, die in einer der beiden Richtlinien angegeben sind, werden in dieser Protokollgruppe geprüft und maskiert.
Anmerkung
Das Maskieren sensibler Daten wird nur für Protokollgruppen der Standard-Protokollklasse unterstützt. Wenn Sie eine Datenschutzrichtlinie für alle Protokollgruppen in Ihrem Konto erstellen, gilt diese nur für Protokollgruppen der Standard-Protokollklasse. Weitere Informationen zu Protokollklassen finden Sie unterKlassen protokollieren.
Jede Protokollgruppe kann nur eine Datenschutzrichtlinie auf Protokollgruppenebene haben, aber diese Richtlinie kann viele verwaltete Datenkennungen angeben, die geprüft und maskiert werden sollen. Das Limit für eine Datenschutzrichtlinie beträgt 30 720 Zeichen.
Wichtig
Vertrauliche Daten werden erkannt und maskiert, wenn sie in die Protokollgruppe aufgenommen werden. Wenn Sie eine Datenschutzrichtlinie festlegen, werden Protokollereignisse, die vor diesem Zeitpunkt in die Protokollgruppe aufgenommen wurden, nicht maskiert.
CloudWatch Logs unterstützt viele verwaltete Datenkennungen, die vorkonfigurierte Datentypen bieten, die Sie auswählen können, um Finanzdaten, persönliche Gesundheitsinformationen (PHI) und personenbezogene Daten (PII) zu schützen. CloudWatch Der Schutz von Logs-Daten ermöglicht es Ihnen, Modelle für Musterabgleich und maschinelles Lernen zu nutzen, um sensible Daten zu erkennen. Bei einigen Typen verwalteter Datenkennungen hängt die Erkennung davon ab, dass auch bestimmte Schlüsselwörter gefunden werden, die sich in der Nähe der sensiblen Daten befinden. Sie können auch benutzerdefinierte Datenkennungen verwenden, um Datenkennungen zu erstellen, die auf Ihren speziellen Anwendungsfall zugeschnitten sind.
CloudWatch Wenn sensible Daten erkannt werden, wird eine Metrik ausgegeben, die mit den von Ihnen ausgewählten Datenkennungen übereinstimmt. Dies ist die LogEventsWithFindingsMetrik, und sie wird im AWS/Logs-Namespace ausgegeben. Sie können diese Metrik verwenden, um CloudWatch Alarme zu erstellen, und Sie können sie in Diagrammen und Dashboards visualisieren. Die vom Datenschutz ausgegebenen Metriken sind angebotene Metriken und sind kostenlos. Weitere Informationen zu den Metriken, an die CloudWatch Logs sendet CloudWatch, finden Sie unterÜberwachung mit CloudWatch Metriken.
Jeder verwaltete Datenbezeichner ist so konzipiert, dass er eine bestimmte Art vertraulicher Daten erkennt, z. B. Kreditkartennummern, AWS geheime Zugangsschlüssel oder Passnummern für ein bestimmtes Land oder eine bestimmte Region. Beim Erstellen einer Datenschutzrichtlinie können Sie es so konfigurieren, dass diese Kennungen von der Protokollgruppe aufgenommene Protokolle analyisieren und bei entsprechender Erkennung Maßnahmen ergreifen.
CloudWatch Logs Data Protection kann mithilfe verwalteter Datenkennungen die folgenden Kategorien sensibler Daten erkennen:
Anmeldeinformationen, wie private Schlüssel oder AWS geheime Zugangsschlüssel
Finanzinformationen, wie Kreditkartennummern
Persönlich identifizierbare Informationen (PII) wie Führerscheine oder Sozialversicherungsnummern
Geschützte Gesundheitsinformationen (PHI) wie Krankenversicherungs- oder medizinische Identifikationsnummern
Gerätekennungen wie IP-Adressen oder MAC Adressen
Einzelheiten zu den Datentypen, die Sie schützen können, finden Sie unter Arten von Daten, die Sie schützen können.
Inhalt
- Informationen über Datenschutzrichtlinien
- IAMBerechtigungen, die erforderlich sind, um eine Datenschutzrichtlinie zu erstellen oder damit zu arbeiten
- Erstellen einer kontoweiten Datenschutzrichtlinie
- Erstellen einer Datenschutzrichtlinie für eine einzelne Protokollgruppe
- Unmaskierte Daten anzeigen
- Prüfergebnisberichte
- Arten von Daten, die Sie schützen können