Creazione di una policy di protezione dei dati per un singolo gruppo di log

È possibile utilizzare la console CloudWatch Logs o AWS CLI comandi per creare una politica di protezione dei dati per mascherare i dati sensibili.

È possibile assegnare una policy di protezione dei dati a ciascun gruppo di log. Ogni policy di protezione dei dati può verificare diversi tipi di informazioni. Ogni policy di protezione dei dati può includere un'istruzione di verifica.

Console

Utilizzo della console per creare una policy di protezione dei dati

Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.
Nel pannello di navigazione a sinistra, scegli Log, Gruppi di log.
Scegli il nome del gruppo di log.
Scegli Actions (Operazioni), quindi scegli Create data protection policy (Crea policy di protezione dei dati).
Per gli identificatori di dati gestiti, seleziona i tipi di dati che desideri controllare e mascherare in questo gruppo di log. Per individuare gli identificatori che ti interessano, digita il testo nella casella di selezione.

Ti consigliamo di selezionare solo gli identificatori di dati pertinenti per i tuoi dati di log e la tua attività. La scelta di numerosi tipi di dati può portare a falsi positivi.

Per informazioni dettagliate sui tipi di dati che è possibile proteggere utilizzando identificatori di dati gestiti, consulta. Tipi di dati che è possibile proteggere
(Facoltativo) Se desideri controllare e mascherare altri tipi di dati utilizzando identificatori di dati personalizzati, scegli Aggiungi identificatore di dati personalizzato. Quindi inserisci un nome per il tipo di dati e l'espressione regolare da utilizzare per cercare quel tipo di dati nel registro degli eventi. Per ulteriori informazioni, consulta Identificatori di dati personalizzati.

Una singola politica di protezione dei dati può includere fino a 10 identificatori di dati personalizzati. Ogni espressione regolare che definisce un identificatore di dati personalizzato deve contenere al massimo 200 caratteri.
(Facoltativo) Scegli uno o più servizi a cui inviare i risultati della verifica. Anche se scegli di non inviare i risultati della verifica ad alcun servizio, i tipi di dati sensibili selezionati verranno comunque mascherati.
Scegli Activate data protection (Attiva la protezione dei dati).

AWS CLI

Per utilizzare nuovamente il plugin AWS CLI per creare una politica di protezione dei dati

Utilizza un editor di testo per creare un file di policy denominato DataProtectionPolicy.json. Per informazioni sulla sintassi delle policy, consulta la sezione seguente.

Immetti il comando seguente:


aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2

Sintassi della politica di protezione dei dati per AWS CLI o operazioni API

Quando si crea una politica di protezione dei JSON dati da utilizzare in un AWS CLI comando o API operazione, la politica deve includere due JSON blocchi:

Il primo blocco deve includere sia una matrice DataIdentifer sia una proprietà Operation con un'operazione Audit. La matrice DataIdentifer elenca i tipi di dati sensibili che desideri mascherare. Per ulteriori informazioni sulle opzioni disponibili, consulta Tipi di dati che è possibile proteggere.

La proprietà Operation con l'operazione Audit è necessaria per individuare i termini relativi ai dati sensibili. L'operazione Audit deve contenere un oggetto FindingsDestination. È possibile utilizzare tale oggetto FindingsDestination per elencare una o più destinazioni a cui inviare il report sui risultati della verifica. Se specifichi destinazioni come gruppi di log, flussi Amazon Data Firehose e bucket S3, devono già esistere. Per un esempio di report sui risultati della verifica, consulta Report sui risultati della verifica.
Il secondo blocco deve includere sia una matrice DataIdentifer sia una proprietà Operation con un'operazione Deidentify. La matrice DataIdentifer deve corrispondere esattamente alla matrice DataIdentifer nel primo blocco della policy.

La proprietà Operation con l'operazione Deidentify è ciò che maschera effettivamente i dati e deve contenere l'oggetto "MaskConfig": {}. L'oggetto "MaskConfig": {} deve essere vuoto.

Quello che segue è un esempio di policy di protezione dei dati che maschera gli indirizzi e-mail e le patenti di guida degli Stati Uniti.


{
    "Name": "data-protection-policy",
    "Description": "test description",
    "Version": "2021-06-01",
    "Statement": [{
            "Sid": "audit-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Audit": {
                    "FindingsDestination": {
                        "CloudWatchLogs": {
                            "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
                        },
                        "Firehose": {
                            "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
                        },
                        "S3": {
                            "Bucket": "EXISTING_BUCKET"
                        }
                    }
                }
            }
        },
        {
            "Sid": "redact-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Deidentify": {
                    "MaskConfig": {}
                }
            }
        }
    ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Creazione di una policy di protezione dei dati a livello di account

Visualizzazione di dati senza mascheramento