Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Creazione di una policy di protezione dei dati a livello di account
È possibile utilizzare la console CloudWatch Logs o AWS CLI comandi per creare una politica di protezione dei dati per mascherare i dati sensibili per tutti i gruppi di log del tuo account. Questa operazione ha effetto sia sui gruppi di log correnti che su quelli creati successivamente.
Importante
I dati sensibili vengono rilevati e mascherati quando vengono importati nel gruppo di log. Quando si imposta una policy di protezione dei dati, i log eventi importati nel gruppo di log prima di quel momento non vengono mascherati.
Console
Utilizzo della console per creare una policy di protezione dei dati a livello di account
-
Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/
. -
Nel pannello di navigazione scegli Impostazioni. Si trova quasi in fondo all'elenco.
Scegliere la scheda Log.
Scegli Configura.
Per gli identificatori di dati gestiti, seleziona i tipi di dati che desideri controllare e mascherare per tutti i tuoi gruppi di log. Per individuare gli identificatori che ti interessano, digita il testo nella casella di selezione.
Ti consigliamo di selezionare solo gli identificatori di dati pertinenti per i tuoi dati di log e la tua attività. La scelta di numerosi tipi di dati può portare a falsi positivi.
Per informazioni dettagliate sui tipi di dati che puoi proteggere, consulta la sezione Tipi di dati che è possibile proteggere.
(Facoltativo) Se desideri controllare e mascherare altri tipi di dati utilizzando identificatori di dati personalizzati, scegli Aggiungi identificatore di dati personalizzato. Quindi inserisci un nome per il tipo di dati e l'espressione regolare da utilizzare per cercare quel tipo di dati nel registro degli eventi. Per ulteriori informazioni, consulta Identificatori di dati personalizzati.
Una singola politica di protezione dei dati può includere fino a 10 identificatori di dati personalizzati. Ogni espressione regolare che definisce un identificatore di dati personalizzato deve contenere al massimo 200 caratteri.
(Facoltativo) Scegli uno o più servizi a cui inviare i risultati della verifica. Anche se scegli di non inviare i risultati della verifica ad alcun servizio, i tipi di dati sensibili selezionati verranno comunque mascherati.
Scegli Activate data protection (Attiva la protezione dei dati).
AWS CLI
Per utilizzare nuovamente il plugin AWS CLI per creare una politica di protezione dei dati
Utilizza un editor di testo per creare un file di policy denominato
DataProtectionPolicy.json. Per informazioni sulla sintassi delle policy, consulta la sezione seguente.Immetti il comando seguente:
aws logs put-account-policy \ --policy-name TEST_POLICY --policy-type "DATA_PROTECTION_POLICY" \ --policy-document file://policy.json \ --scope "ALL" \ --regionus-west-2
Sintassi della politica di protezione dei dati per AWS CLI o operazioni API
Quando si crea una politica di protezione dei JSON dati da utilizzare in un AWS CLI comando o API operazione, la politica deve includere due JSON blocchi:
Il primo blocco deve includere sia una matrice
DataIdentifersia una proprietàOperationcon un'operazioneAudit. La matriceDataIdentiferelenca i tipi di dati sensibili che desideri mascherare. Per ulteriori informazioni sulle opzioni disponibili, consulta Tipi di dati che è possibile proteggere.La proprietà
Operationcon l'operazioneAuditè necessaria per individuare i termini relativi ai dati sensibili. L'operazioneAuditdeve contenere un oggettoFindingsDestination. È possibile utilizzare tale oggettoFindingsDestinationper elencare una o più destinazioni a cui inviare il report sui risultati della verifica. Se specifichi destinazioni come gruppi di log, flussi Amazon Data Firehose e bucket S3, devono già esistere. Per un esempio di report sui risultati della verifica, consulta Report sui risultati della verifica.Il secondo blocco deve includere sia una matrice
DataIdentifersia una proprietàOperationcon un'operazioneDeidentify. La matriceDataIdentiferdeve corrispondere esattamente alla matriceDataIdentifernel primo blocco della policy.La proprietà
Operationcon l'operazioneDeidentifyè ciò che maschera effettivamente i dati e deve contenere l'oggetto"MaskConfig": {}. L'oggetto"MaskConfig": {}deve essere vuoto.
Di seguito è riportato un esempio di politica di protezione dei dati che utilizza solo identificatori di dati gestiti. Questa politica maschera gli indirizzi e-mail e le patenti di guida degli Stati Uniti.
Per informazioni sulle politiche che specificano identificatori di dati personalizzati, consulta. Utilizzo degli identificatori di dati personalizzati nella policy di protezione dei dati
{ "Name": "data-protection-policy", "Description": "test description", "Version": "2021-06-01", "Statement": [{ "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Audit": { "FindingsDestination": { "CloudWatchLogs": { "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT," }, "Firehose": { "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT" }, "S3": { "Bucket": "EXISTING_BUCKET" } } } } }, { "Sid": "redact-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Deidentify": { "MaskConfig": {} } } } ] }
