기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
데이터 보호 정책 이해
데이터 보호 정책이란 무엇입니까?
CloudWatch 로그는 데이터 보호 정책을 사용하여 스캔하려는 민감한 데이터와 해당 데이터를 보호하기 위해 수행할 작업을 선택합니다. 관심 있는 민감한 데이터를 선택하려면 데이터 식별자를 사용합니다. CloudWatch 그런 다음 로그 데이터 보호는 기계 학습 및 패턴 일치를 사용하여 민감한 데이터를 감지합니다. 발견된 데이터 식별자에 따라 조치를 취하기 위해 감사와 비식별화 작업을 정의할 수 있습니다. 이러한 연산을 사용하여 발견된(또는 발견되지 않은) 민감한 데이터를 로깅하고 로그 이벤트를 확인할 때 민감한 데이터를 마스킹할 수 있습니다.
데이터 보호 정책은 어떻게 구성되어 있습니까?
다음 그림처럼 데이터 보호 정책 문서는 다음 요소를 포함합니다.
-
문서 상단에 위치하는 정책 전반의 선택적 정보
-
감사 및 비식별화 작업을 정의하는 문 하나
CloudWatch 로그 로그 그룹당 하나의 데이터 보호 정책만 정의할 수 있습니다. 데이터 보호 정책은 하나 이상의 거부 또는 비식별 명령문과 하나의 감사 명령문을 가질 수 있습니다.
JSON 데이터 보호 정책의 속성
데이터 보호 정책에는 식별을 위해 다음과 같은 기본 정책 정보가 필요합니다.
-
Name(이름) – 정책 이름입니다.
-
Description(설명)(선택 사항) – 정책 설명입니다.
-
Version(버전) - 정책 언어 버전입니다. 현재 버전은 2021-06-01입니다.
-
Statement(명령문) - 데이터 보호 정책 조치를 지정하는 명령문 목록입니다.
{ "Name": "CloudWatchLogs-PersonalInformation-Protection", "Description": "Protect basic types of sensitive data", "Version": "2021-06-01", "Statement": [ ... ] }
JSON 정책 설명의 속성
정책 명령문은 데이터 보호 작업에 대한 탐지 컨텍스트를 설정합니다.
-
Sid(선택 사항) - 명령문 식별자입니다.
-
DataIdentifier - CloudWatch 로그가 스캔해야 하는 민감한 데이터입니다. 이러한 데이터로는 이름, 주소 또는 전화번호가 있습니다.
-
작업 - 감사 또는 비식별 등의 후속 작업입니다. CloudWatch 로그는 민감한 데이터를 찾을 때 이러한 작업을 수행합니다.
{ ... "Statement": [ { "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/Address" ], "Operation": { "Audit": { "FindingsDestination": {} } } },
JSON 정책 설명 작업의 속성
정책 명령문은 다음 데이터 보호 작업 중 하나를 설정합니다.
-
Audit - 로깅을 중단하지 않고 지표 및 결과 보고서를 내보냅니다. 일치하는 문자열은 CloudWatch 로그가 LogEventsWithFindings AWS/Logs 네임스페이스에 게시하는 지표를 증가시킵니다 CloudWatch. 해당 지표를 사용하여 경보를 생성할 수 있습니다.
결과 보고서의 예는 감사 결과 보고서를 참조하세요.
CloudWatch 로그가 보내는 지표에 대한 자세한 내용은 섹션을 CloudWatch참조하세요 CloudWatch 지표를 사용한 모니터링.
-
De-identify -로깅을 중단하지 않고 중요한 데이터를 마스킹합니다.
