Aider à protéger les données sensibles des journaux grâce au masquage

Vous pouvez contribuer à protéger les données sensibles ingérées par CloudWatch Logs en utilisant les politiques de protection des données des groupes de journaux. Ces politiques vous permettent d'auditer et de masquer les données sensibles qui apparaissent dans les événements du journal ingérés par les groupes de journaux de votre compte.

Lorsque vous créez une politique de protection des données, les données sensibles correspondant aux identifiants de données que vous avez sélectionnés sont masquées par défaut à tous les points de sortie, y compris CloudWatch Logs Insights, les filtres métriques et les filtres d'abonnement. Seuls les utilisateurs disposant de l'autorisation IAM logs:Unmask peuvent consulter les données non masquées.

Vous pouvez créer une politique de protection des données pour tous les groupes de journaux de votre compte, et vous pouvez également créer une politique de protection des données pour des groupes de journaux individuels. Lorsque vous créez une politique pour l'ensemble de votre compte, elle s'applique à la fois aux groupes de journaux existants et aux groupes de journaux qui seront créés ultérieurement.

Si vous créez une politique de protection des données pour l'ensemble de votre compte et que vous créez également une politique pour un seul groupe de journaux, les deux politiques s'appliquent à ce groupe de journaux. Tous les identifiants de données gérés qui sont spécifiés dans l'une ou l'autre des politiques sont audités et masqués dans ce groupe de journaux.

Chaque groupe de journaux ne peut avoir qu'une seule politique de protection des données au niveau du groupe de journaux, mais cette politique peut spécifier de nombreux identifiants de données gérés à auditer et à masquer. La limite d'une politique de protection des données est de 30 720 caractères.

CloudWatch Logs prend en charge de nombreux identifiants de données gérés, qui proposent des types de données préconfigurés que vous pouvez sélectionner pour protéger les données financières, les informations médicales personnelles (PHI) et les informations personnelles identifiables (PII). CloudWatch La protection des données des journaux vous permet de tirer parti de modèles de correspondance et de modèles d'apprentissage automatique pour détecter les données sensibles. Pour certains types d'identifiants de données gérés, la détection dépend également de la recherche de certains mots clés à proximité des données sensibles. Vous pouvez également utiliser des identifiants de données personnalisés pour créer des identifiants de données adaptés à votre cas d'utilisation spécifique.

CloudWatch Lorsque des données sensibles sont détectées, une métrique correspondant aux identifiants de données que vous sélectionnez est émise. Il s'agit de la LogEventsWithFindingsmétrique émise dans l'espace de noms AWS/Logs. Vous pouvez utiliser cette métrique pour créer des CloudWatch alarmes, et vous pouvez la visualiser sous forme de graphiques et de tableaux de bord. Les métriques émises par la protection des données sont des métriques vendues et sont gratuites. Pour plus d'informations sur les métriques auxquelles CloudWatch Logs envoie CloudWatch, consultezSurveillance à l'aide de CloudWatch métriques.

Chaque identifiant de données géré est conçu pour détecter un type spécifique de données sensibles, telles que les numéros de carte de crédit, les clés d'accès AWS secrètes ou les numéros de passeport d'un pays ou d'une région en particulier. Lorsque vous créez une politique de protection des données, vous pouvez la configurer pour qu'elle utilise ces identifiants afin d'analyser les journaux ingérés par le groupe de journaux, et prendre des mesures lorsqu'ils sont détectés.

CloudWatch La protection des données des journaux peut détecter les catégories suivantes de données sensibles à l'aide d'identifiants de données gérés :

Pour plus de détails sur les types de données que vous pouvez protéger, consultez Types de données que vous pouvez protéger (français non garanti).