監査結果レポート - Amazon CloudWatch Logs
で保護された バケットに監査結果を送信するために必要なキーポリシー AWS KMS

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

監査結果レポート

CloudWatch Logs、Amazon S3、または Firehose に監査レポートを書き込むように CloudWatch Logs データ保護監査ポリシーを設定すると、これらの検出結果レポートは次の例のようになります。 CloudWatch Logs は、機密データを含むログイベントごとに 1 つの検出結果レポートを書き込みます。

{
    "auditTimestamp": "2023-01-23T21:11:20Z",
    "resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*",
    "dataIdentifiers": [
        {
            "name": "EmailAddress",
            "count": 2,
            "detections": [
                {
                    "start": 13,
                    "end": 26
                },
{
                    "start": 30,
                    "end": 43
                }
            ]
        }
    ]
}

レポート内のフィールドは、以下のとおりです。

  • resourceArn フィールドには、機密データが見つかったロググループが表示されます。

  • dataIdentifiers オブジェクトには、監査している機密データのタイプの 1 つに関する結果が表示されます。

  • name フィールドには、このセクションで報告されている機密データのタイプが特定されています。

  • count フィールドには、ログイベントでこのタイプの機密データが出現する回数が表示されます。

  • start および end フィールドには、機密データがログイベントのどこで出現しているかが、出現ごとに文字数で表示されます。

上記の例は、1 つのログイベントで 2 件の E メールアドレスが見つかったレポートです。最初の E メールアドレスは、ログイベントの 13 文字目から始まり、26 文字目で終わります。2 番目のメールアドレスは 30 文字目から 43 文字目までとなっています。このログイベントには 2 件の E メールアドレスがありますが、LogEventsWithFindings メトリクスの値は 1 つしかインクリメントされていません。これは、メトリクスが数えているのが機密データの出現回数ではなく、機密データが含まれるログイベントの数だからです。

で保護された バケットに監査結果を送信するために必要なキーポリシー AWS KMS

Amazon S3 バケット内のデータを保護するには、Amazon S3 マネージドキーを使用したサーバー側の暗号化 (SSE-S3)、または KMS キーを使用したサーバー側の暗号化 (SSE-KMS) のいずれかを有効にします。詳細については、Amazon S3 ユーザーガイドの「サーバー側の暗号化を使用したデータの保護」を参照してください。

SSE-S3 で保護されているバケットに監査結果を送信した場合、追加の設定は必要ありません。Amazon S3 が暗号化キーを処理します。

SSE-KMS で保護されているバケットに監査結果を送信すると、ログ配信アカウントが S3 バケットに書き込めるように、KMS キーのキーポリシーを更新する必要があります。SSE-KMS で使用するために必要なキーポリシーの詳細については、「Amazon CloudWatch Logs ユーザーガイドAmazon S3」の「」を参照してください。