Identificateurs des données personnalisés - Amazon CloudWatch Logs
En quoi consistent les identifiants de données personnalisés ?Contraintes liées aux identifiants de données personnalisésUtilisation d'identifiants de données personnalisés dans la consoleUtilisation d'identifiants de données personnalisés dans votre politique de protection des données

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Identificateurs des données personnalisés

En quoi consistent les identifiants de données personnalisés ?

Les identifiants de données personnalisés (CDI) vous permettent de définir vos propres expressions régulières personnalisées et de les utiliser éventuellement dans votre politique de protection des données. En utilisant des identifiants de données personnalisés, vous pouvez cibler des cas d'utilisation de données d'identification personnelle (PII) propres à un domaine d'activité, ce que les identifiants de données gérés ne peuvent pas offrir. Par exemple, vous pouvez utiliser un identifiant de données personnalisé pour rechercher les ID d'employés spécifiques d'une société. Les identifiants de données personnalisés peuvent être utilisés conjointement avec des identifiants de données gérés.

Contraintes liées aux identifiants de données personnalisés

CloudWatch Les identifiants de données personnalisés des journaux présentent les limites suivantes :

  • Le nombre d'identifiants de données personnalisés pris en charge pour chaque politique de protection des données est limité à 10.

  • Les noms d'identificateurs de données personnalisés ont une longueur maximale de 128 caractères. Les caractères pris en charge sont les suivants :

    • Alphanumériques : (a-zA-Z0-9)

    • Symboles : ( '_' | '-' )

  • La longueur maximale de RegEx est de 200 caractères. Les caractères pris en charge sont les suivants :

    • Alphanumériques : (a-zA-Z0-9)

    • Symboles : ( '_' | '#' | '=' | '@' |'/' | ';' | ',' | '-' | ' ' )

    • Caractères réservés pour RegEx : ('^' | '$' | '?' | '[' | ']' | '{' | '}' | '|' \ \ '|' * '|' * '|' + '|'. ')

  • Les identifiants de données personnalisés ne peuvent pas avoir le même nom qu'un identifiant de données géré.

  • Les identifiants de données personnalisés peuvent être spécifiés dans une politique de protection des données au niveau du compte ou dans des politiques de protection des données au niveau du groupe de journaux. À l'instar des identifiants de données gérés, les identifiants de données personnalisés définis dans le cadre d'une politique au niveau du compte fonctionnent en combinaison avec les identifiants de données personnalisés définis dans une politique au niveau du groupe de journaux.

Utilisation d'identifiants de données personnalisés dans la console

Lorsque vous utilisez la CloudWatch console pour créer ou modifier une politique de protection des données, pour spécifier un identifiant de données personnalisé, il vous suffit de saisir un nom et une expression régulière pour l'identifiant de données. Par exemple, vous pouvez saisir Employee_ID le EmployeeID-\d{9} nom et l'expression régulière. Cette expression régulière détectera et masquera les événements du journal suivis de neuf chiffresEmployeeID-. Par exemple, EmployeeID-123456789

Utilisation d'identifiants de données personnalisés dans votre politique de protection des données

Si vous utilisez l' AWS API AWS CLI or pour spécifier un identifiant de données personnalisé, vous devez inclure le nom de l'identifiant de données et l'expression régulière dans la politique JSON utilisée pour définir la politique de protection des données. La politique de protection des données suivante détecte et masque les événements enregistrés contenant des identifiants d'employés spécifiques à l'entreprise.

  1. Créez un bloc Configuration dans votre politique de protection des données.

  2. Nommez votre identifiant de données personnalisé dans Name. Par exemple, EmployeeId.

  3. Nommez votre identifiant de données personnalisé dans Regex. Par exemple, EmployeeID-\d{9}. Cette expression régulière correspondra aux événements du journal EmployeeID- contenant neuf chiffres aprèsEmployeeID-. Par exemple, EmployeeID-123456789

  4. Faites référence à l'identifiant de données personnalisé suivant dans une déclaration de politique.

    {
    "Name": "example_data_protection_policy",
    "Description": "Example data protection policy with custom data identifiers",
    "Version": "2021-06-01",
    "Configuration": {
      "CustomDataIdentifier": [
        {"Name": "EmployeeId", "Regex": "EmployeeId-\\d{9}"}   
      ]
    },
    "Statement": [
        {
            "Sid": "audit-policy",
            "DataIdentifier": [
                "EmployeeId"
            ],
            "Operation": {
                "Audit": {
                    "FindingsDestination": {
                        "S3": {
                            "Bucket": "EXISTING_BUCKET"
                        }
                    }
                }
            }
        },
        {
            "Sid": "redact-policy",
            "DataIdentifier": [
            "EmployeeId"
            ],
            "Operation": {
                "Deidentify": {
                    "MaskConfig": {
                    }
                }
            }
        }
    ]
}

  5. (Facultatif) Continuez à ajouter des identificateurs de données personnalisés supplémentaires au bloc Configuration, si nécessaire. Les politiques de protection des données prennent actuellement en charge au maximum 10 identifiants de données personnalisés.