Buat kebijakan perlindungan data di seluruh akun - CloudWatch Log Amazon
KonsolAWS CLI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat kebijakan perlindungan data di seluruh akun

Anda dapat menggunakan konsol CloudWatch Log atau AWS CLI perintah untuk membuat kebijakan perlindungan data untuk menutupi data sensitif untuk semua grup log di akun Anda. Melakukannya memengaruhi grup log saat ini dan grup log yang Anda buat di masa mendatang.

penting

Data sensitif terdeteksi dan disamarkan saat tertelan ke dalam grup log. Saat Anda menetapkan kebijakan perlindungan data, peristiwa log yang dicerna ke grup log sebelum waktu tersebut tidak disamarkan.

Konsol

Untuk menggunakan konsol untuk membuat kebijakan perlindungan data seluruh akun

  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Pada panel navigasi, silakan pilih Pengaturan. Itu terletak di dekat bagian bawah daftar.

  3. Pilih tab Log.

  4. Pilih Konfigurasikan

  5. Untuk pengidentifikasi data terkelola, pilih jenis data yang ingin Anda audit dan tutupi untuk semua grup log Anda. Anda dapat mengetikkan kotak pilihan untuk menemukan pengidentifikasi yang Anda inginkan.

    Kami menyarankan Anda hanya memilih pengenal data yang relevan untuk data log dan bisnis Anda. Memilih banyak jenis data dapat menyebabkan positif palsu.

    Untuk detail tentang jenis data yang dapat Anda lindungi, lihatJenis data yang dapat Anda lindungi.

  6. (Opsional) Jika Anda ingin mengaudit dan menutupi jenis data lain dengan menggunakan pengenal data khusus, pilih Tambahkan pengenal data khusus. Kemudian masukkan nama untuk tipe data dan ekspresi reguler yang akan digunakan untuk mencari jenis data tersebut dalam peristiwa log. Untuk informasi selengkapnya, lihat Pengidentifikasi data khusus.

    Kebijakan perlindungan data tunggal dapat mencakup hingga 10 pengidentifikasi data khusus. Setiap ekspresi reguler yang mendefinisikan pengenal data kustom harus 200 karakter atau kurang.

  7. (Opsional) Pilih satu atau beberapa layanan untuk mengirimkan temuan audit ke. Bahkan jika Anda memilih untuk tidak mengirim temuan audit ke salah satu layanan ini, tipe data sensitif yang Anda pilih akan tetap tertutup.

  8. Pilih Aktifkan perlindungan data.

AWS CLI

Untuk menggunakan AWS CLI untuk membuat kebijakan perlindungan data

  1. Gunakan editor teks untuk membuat file kebijakan bernamaDataProtectionPolicy.json. Untuk informasi tentang sintaks kebijakan, lihat bagian berikut.

  2. Masukkan perintah berikut:

    aws logs put-account-policy \
--policy-name TEST_POLICY --policy-type "DATA_PROTECTION_POLICY" \
--policy-document file://policy.json \
--scope "ALL" \
--region us-west-2

Sintaks kebijakan perlindungan data untuk AWS CLI atau API operasi

Saat Anda membuat kebijakan perlindungan JSON data untuk digunakan dalam AWS CLI perintah atau API operasi, kebijakan harus mencakup dua JSON blok:

  • Blok pertama harus menyertakan DataIdentifer array dan Operation properti dengan Audit tindakan. DataIdentiferArray mencantumkan jenis data sensitif yang ingin Anda tutupi. Untuk informasi lebih lanjut tentang opsi yang tersedia, lihat Jenis data yang dapat Anda lindungi.

    OperationProperti dengan Audit tindakan diperlukan untuk menemukan istilah data sensitif. AuditTindakan ini harus berisi FindingsDestination objek. Anda dapat menggunakan FindingsDestination objek tersebut secara opsional untuk mencantumkan satu atau beberapa tujuan untuk mengirim laporan temuan audit. Jika Anda menentukan tujuan seperti grup log, aliran Amazon Data Firehose, dan bucket S3, mereka harus sudah ada. Untuk contoh laporan audit findins, lihat. Laporan temuan audit

  • Blok kedua harus menyertakan DataIdentifer array dan Operation properti dengan Deidentify tindakan. DataIdentiferArray harus sama persis dengan DataIdentifer array di blok pertama kebijakan.

    OperationProperti dengan Deidentify tindakan adalah apa yang sebenarnya menutupi data, dan itu harus berisi "MaskConfig": {} objek. "MaskConfig": {}Objek harus kosong.

Berikut ini adalah contoh kebijakan perlindungan data yang hanya menggunakan pengidentifikasi data terkelola. Kebijakan ini menutupi alamat email dan SIM Amerika Serikat.

Untuk informasi tentang kebijakan yang menentukan pengenal data kustom, lihatMenggunakan pengidentifikasi data khusus dalam kebijakan perlindungan data Anda. 

{
    "Name": "data-protection-policy",
    "Description": "test description",
    "Version": "2021-06-01",
    "Statement": [{
            "Sid": "audit-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Audit": {
                    "FindingsDestination": {
                        "CloudWatchLogs": {
                            "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
                        },
                        "Firehose": {
                            "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
                        },
                        "S3": {
                            "Bucket": "EXISTING_BUCKET"
                        }
                    }
                }
            }
        },
        {
            "Sid": "redact-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Deidentify": {
                    "MaskConfig": {}
                }
            }
        }
    ]
}