기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
데이터 보호 정책 이해
데이터 보호 정책이란 무엇입니까?
CloudWatch Logs는 데이터 보호 정책을 사용하여 스캔하려는 중요한 데이터와 해당 데이터를 보호하기 위해 수행하려는 작업을 선택합니다. 관심 있는 중요한 데이터를 선택하려면 데이터 식별자를 사용합니다. 그런 다음 CloudWatch Logs 데이터 보호는 기계 학습 및 패턴 일치를 사용하여 중요한 데이터를 감지합니다. 발견된 데이터 식별자에 따라 조치를 취하기 위해 감사와 비식별화 작업을 정의할 수 있습니다. 이러한 연산을 사용하여 발견된(또는 발견되지 않은) 민감한 데이터를 로깅하고 로그 이벤트를 확인할 때 민감한 데이터를 마스킹할 수 있습니다.
데이터 보호 정책은 어떻게 구성되어 있습니까?
다음 그림처럼 데이터 보호 정책 문서는 다음 요소를 포함합니다.
-
문서 상단에 위치하는 정책 전반의 선택적 정보
-
감사 및 비식별화 작업을 정의하는 문 하나
CloudWatch Logs 로그 그룹당 하나의 데이터 보호 정책만 정의할 수 있습니다. 데이터 보호 정책은 하나 이상의 거부 또는 비식별 명령문과 하나의 감사 명령문을 가질 수 있습니다.
데이터 보호 정책의 JSON 속성
데이터 보호 정책에는 식별을 위해 다음과 같은 기본 정책 정보가 필요합니다.
-
Name(이름) – 정책 이름입니다.
-
Description(설명)(선택 사항) – 정책 설명입니다.
-
Version(버전) - 정책 언어 버전입니다. 현재 버전은 2021-06-01입니다.
-
Statement(명령문) - 데이터 보호 정책 조치를 지정하는 명령문 목록입니다.
{ "Name": "CloudWatchLogs-PersonalInformation-Protection", "Description": "Protect basic types of sensitive data", "Version": "2021-06-01", "Statement": [ ... ] }
정책 명령문을 위한 JSON 속성
정책 명령문은 데이터 보호 작업에 대한 탐지 컨텍스트를 설정합니다.
-
Sid(선택 사항) - 명령문 식별자입니다.
-
DataIdentifier – CloudWatch Logs에서 스캔해야 하는 민감한 데이터입니다. 이러한 데이터로는 이름, 주소 또는 전화번호가 있습니다.
-
Operation - 후속 작업입니다. Audit 또는 De-identify 중 하나입니다. CloudWatch Logs는 중요한 데이터를 발견하면 해당 작업을 수행합니다.
{ ... "Statement": [ { "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/Address" ], "Operation": { "Audit": { "FindingsDestination": {} } } },
정책 명령문 작업을 위한 JSON 속성
정책 명령문은 다음 데이터 보호 작업 중 하나를 설정합니다.
-
Audit - 로깅을 중단하지 않고 지표 및 결과 보고서를 내보냅니다. 일치하는 문자열은 CloudWatch Logs가 CloudWatch의 AWS/Logs 네임스페이스에 게시하는 LogEventsWithFindings 지표를 증가시킵니다. 해당 지표를 사용하여 경보를 생성할 수 있습니다.
결과 보고서의 예는 감사 결과 보고서를 참조하세요.
CloudWatch Logs가 CloudWatch로 보내는 지표에 대한 자세한 내용은 CloudWatch 지표를 사용한 모니터링을 참조하세요.
-
De-identify -로깅을 중단하지 않고 중요한 데이터를 마스킹합니다.
