Report sui risultati della verifica - CloudWatch Registri Amazon
Politica chiave richiesta per inviare i risultati dell'audit a un bucket protetto da AWS KMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Report sui risultati della verifica

Se configuri le politiche di controllo della protezione dei dati di CloudWatch Logs per scrivere report di controllo su CloudWatch Logs, Amazon S3 o Firehose, questi report sui risultati sono simili all'esempio seguente. CloudWatch Logs scrive un rapporto sui risultati per ogni evento di registro che contiene dati sensibili.

{
    "auditTimestamp": "2023-01-23T21:11:20Z",
    "resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*",
    "dataIdentifiers": [
        {
            "name": "EmailAddress",
            "count": 2,
            "detections": [
                {
                    "start": 13,
                    "end": 26
                },
{
                    "start": 30,
                    "end": 43
                }
            ]
        }
    ]
}

I campi del report sono i seguenti:

  • Il campo resourceArn visualizza il gruppo di log in cui sono stati trovati i dati sensibili.

  • L'oggetto dataIdentifiers visualizza le informazioni sui risultati di un tipo di dati sensibili in corso di verifica.

  • Il campo name identifica il tipo di dati sensibili riportati in questa sezione.

  • Il campo count visualizza il numero di volte in cui questo tipo di dati sensibili viene visualizzato nel log eventi.

  • I campi start e end mostrano dove appare ogni occorrenza dei dati sensibili nel log eventi in base al numero di caratteri.

L'esempio precedente mostra un report sulla ricerca di due indirizzi e-mail in un log eventi. Il primo indirizzo e-mail inizia al 13° carattere del log eventi e termina al 26° carattere. Il secondo indirizzo e-mail va dal 30° al 43° carattere. Anche se questo log eventi ha due indirizzi e-mail, il valore della metrica LogEventsWithFindings viene incrementato solo di uno, poiché tale metrica conta il numero di log eventi che contengono dati sensibili, non il numero di occorrenze dei dati sensibili.

Politica chiave richiesta per inviare i risultati dell'audit a un bucket protetto da AWS KMS

Puoi proteggere i dati in un bucket Amazon S3 abilitando la crittografia lato server con chiavi gestite da Amazon S3 (-S3) o la crittografia lato server con chiavi (SSE-). KMS SSE KMS Per ulteriori informazioni, consulta Protezione dei dati con la crittografia lato server nella Guida per l'utente di Amazon S3.

Se invii i risultati dell'audit a un bucket protetto con -S3, non è richiesta alcuna configurazione aggiuntiva. SSE Amazon S3 gestisce la chiave di crittografia.

Se invii i risultati dell'audit a un bucket protetto con SSE -KMS, devi aggiornare la policy chiave per la tua KMS chiave in modo che l'account di consegna dei log possa scrivere sul tuo bucket S3. Per ulteriori informazioni sulla politica chiave richiesta per l'uso con SSE -KMS, consulta Amazon S3 la Amazon CloudWatch Logs User Guide.