Memahami kebijakan perlindungan data - CloudWatch Log Amazon
Apa itu kebijakan perlindungan data?Bagaimana kebijakan perlindungan data terstruktur?

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami kebijakan perlindungan data

Apa itu kebijakan perlindungan data?

CloudWatch Log menggunakan kebijakan perlindungan data untuk memilih data sensitif yang ingin Anda pindai, dan tindakan yang ingin Anda ambil untuk melindungi data tersebut. Untuk memilih data sensitif yang menarik, Anda menggunakan pengidentifikasi data. CloudWatch Perlindungan data log kemudian mendeteksi data sensitif dengan menggunakan pembelajaran mesin dan pencocokan pola. Untuk menindaklanjuti pengidentifikasi data yang ditemukan, Anda dapat menentukan operasi audit dan de-identifikasi. Operasi ini memungkinkan Anda mencatat data sensitif yang ditemukan (atau tidak ditemukan), dan untuk menutupi data sensitif saat peristiwa log dilihat.

Bagaimana kebijakan perlindungan data terstruktur?

Seperti yang diilustrasikan pada gambar berikut, dokumen kebijakan perlindungan data mencakup elemen-elemen berikut:

  • Informasi opsional untuk seluruh kebijakan di bagian atas dokumen

  • Satu pernyataan yang mendefinisikan tindakan audit dan de-identifikasi

Hanya satu kebijakan perlindungan data yang dapat ditentukan per grup CloudWatch log Log. Kebijakan perlindungan data dapat memiliki satu atau lebih pernyataan penolakan atau de-identifikasi, tetapi hanya satu pernyataan audit.

JSONproperti untuk kebijakan perlindungan data

Kebijakan perlindungan data memerlukan informasi kebijakan dasar berikut untuk identifikasi:

  • Nama — Nama kebijakan.

  • Deskripsi (Opsional) — Deskripsi kebijakan.

  • Versi - Versi bahasa kebijakan. Versi saat ini adalah 2021-06-01.

  • Pernyataan — Daftar pernyataan yang menentukan tindakan kebijakan perlindungan data.

{
  "Name": "CloudWatchLogs-PersonalInformation-Protection",
  "Description": "Protect basic types of sensitive data",
  "Version": "2021-06-01",
  "Statement": [
        ...
  ]
}

JSONproperti untuk pernyataan kebijakan

Pernyataan kebijakan menetapkan konteks deteksi untuk operasi perlindungan data.

  • Sid (Opsional) - Pengidentifikasi pernyataan.

  • DataIdentifier— Data sensitif yang harus dipindai oleh CloudWatch Log. Misalnya, nama, alamat, atau nomor telepon.

  • Operasi — Tindakan tindak lanjut, baik Audit atau De-identifikasi. CloudWatch Log melakukan tindakan ini ketika menemukan data sensitif.

{
  ...
  "Statement": [
    {
      "Sid": "audit-policy",
      "DataIdentifier": [
        "arn:aws:dataprotection::aws:data-identifier/Address"
      ],
      "Operation": {
        "Audit": {
          "FindingsDestination": {}
        }
      }
    },

JSONproperti untuk operasi pernyataan kebijakan

Pernyataan kebijakan menetapkan salah satu operasi perlindungan data berikut.

  • Audit — Memancarkan laporan metrik dan temuan tanpa mengganggu pencatatan. String yang cocok menambah LogEventsWithFindingsmetrik yang diterbitkan CloudWatch Log ke namespace AWS/Logs. CloudWatch Anda dapat menggunakan metrik ini untuk membuat alarm.

    Untuk contoh laporan temuan, lihatLaporan temuan audit.

    Untuk informasi selengkapnya tentang metrik yang dikirimkan oleh CloudWatch Log CloudWatch, lihatPemantauan dengan CloudWatch metrik.

  • De-identifikasi - Tutupi data sensitif tanpa mengganggu logging.