계정 전체 데이터 보호 정책 생성 - Amazon CloudWatch Logs
콘솔AWS CLI

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

계정 전체 데이터 보호 정책 생성

CloudWatch Logs 콘솔 또는 AWS CLI 명령을 사용하여 계정의 모든 로그 그룹에 대한 민감한 데이터를 마스킹할 수 있습니다. 이는 현재 로그 그룹과 향후 생성하는 로그 그룹 모두에 영향을 미칩니다.

중요

중요한 데이터는 로그 그룹에 수집될 때 감지되고 마스킹 처리됩니다. 데이터 보호 정책을 설정하면 해당 시간 이전에 로그 그룹에 수집된 로그 이벤트는 마스킹 처리되지 않습니다.

콘솔

콘솔을 사용하여 계정 전체 데이터 보호 정책 생성

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 설정을 선택합니다. 목록 하단 근처에 있습니다.

  3. 로그 탭을 선택합니다.

  4. 구성을 선택합니다.

  5. 관리형 데이터 식별자에서 모든 로그 그룹에 대해 감사하고 마스킹할 데이터 유형을 선택합니다. 선택 상자에 입력하여 원하는 식별자를 찾을 수 있습니다.

    로그 데이터 및 비즈니스와 관련된 데이터 식별자만 선택하는 것이 좋습니다. 여러 유형의 데이터를 선택하면 오탐이 발생할 수 있습니다.

    보호할 수 있는 데이터 유형에 대한 자세한 내용은 보호할 수 있는 데이터 유형 섹션을 참조하세요.

  6. (선택 사항) 사용자 지정 데이터 식별자를 사용하여 다른 유형의 데이터를 감사하고 마스킹하려면 사용자 지정 데이터 식별자 추가를 선택합니다. 그런 다음 데이터 유형의 이름과 로그 이벤트에서 해당 데이터 유형을 검색하는 데 사용할 정규 표현식을 입력합니다. 자세한 내용은 사용자 지정 데이터 식별자 단원을 참조하십시오.

    하나의 데이터 보호 정책에 최대 10개의 사용자 지정 데이터 식별자가 포함될 수 있습니다. 사용자 지정 데이터 식별자를 정의하는 각 정규 표현식은 200자 이하여야 합니다.

  7. (선택 사항) 감사 결과를 전송할 서비스를 하나 이상 선택합니다. 이러한 서비스에 감사 결과를 보내지 않기로 선택하더라도 선택한 중요한 데이터 유형은 여전히 마스킹 처리됩니다.

  8. Activate data protection(데이터 보호 활성화)을 선택합니다.

AWS CLI

AWS CLI를 사용하여 데이터 보호 정책을 생성하려면

  1. 텍스트 편집기를 사용하여 DataProtectionPolicy.json 정책 파일을 생성합니다. 정책 구문에 대한 자세한 내용은 다음 섹션을 참조하세요.

  2. 다음 명령을 입력합니다.

    aws logs put-account-policy \
--policy-name TEST_POLICY --policy-type "DATA_PROTECTION_POLICY" \
--policy-document file://policy.json \
--scope "ALL" \
--region us-west-2

AWS CLI 또는 API 작업을 위한 데이터 보호 정책 구문

AWS CLI 명령 또는 API 작업에 사용할 JSON 데이터 보호 정책을 만들 때는 정책에 두 개의 JSON 블록이 포함되어야 합니다.

  • 첫 번째 블록은 DataIdentifer 배열과 Audit 액션이 있는 Operation 속성을 모두 포함해야 합니다. DataIdentifer 배열은 마스킹 처리하려는 중요한 데이터 유형을 나열합니다. 사용 가능한 옵션에 대한 자세한 내용은 보호할 수 있는 데이터 유형 섹션을 참조하세요.

    중요한 데이터 용어를 찾으려면 Audit 액션이 있는 Operation 속성이 필요합니다. 이 Audit 액션에는 FindingsDestination 객체가 포함되어야 합니다. 선택적으로 이 FindingsDestination 객체를 사용하여 감사 결과 보고서를 보낼 하나 이상의 대상을 나열할 수 있습니다. 로그 그룹, Amazon Data Firehose 스트림, S3 버킷 같은 대상을 지정하는 경우, 해당 대상이 이미 존재해야 합니다. 감사 결과 보고서의 예는 감사 결과 보고서를 참조하세요.

  • 두 번째 블록은 DataIdentifer 배열과 Deidentify 액션이 있는 Operation 속성을 모두 포함해야 합니다. DataIdentifer 배열은 정책의 첫 번째 블록에 있는 DataIdentifer 배열과 정확히 일치해야 합니다.

    Deidentify 액션이 있는 Operation 속성은 실제로 데이터를 마스킹 처리하며 해당 속성은 "MaskConfig": {} 객체를 포함해야 합니다. "MaskConfig": {} 객체는 비어 있어야 합니다.

다음은 관리형 데이터 식별자만 사용하는 데이터 보호 정책의 예제입니다. 이 정책은 이메일 주소와 미국 운전면허증을 마스킹합니다.

사용자 지정 데이터 식별자를 지정하는 정책에 대한 자세한 내용은 데이터 보호 정책에서 사용자 지정 데이터 식별자 사용 섹션을 참조하세요.

{
    "Name": "data-protection-policy",
    "Description": "test description",
    "Version": "2021-06-01",
    "Statement": [{
            "Sid": "audit-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Audit": {
                    "FindingsDestination": {
                        "CloudWatchLogs": {
                            "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
                        },
                        "Firehose": {
                            "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
                        },
                        "S3": {
                            "Bucket": "EXISTING_BUCKET"
                        }
                    }
                }
            }
        },
        {
            "Sid": "redact-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Deidentify": {
                    "MaskConfig": {}
                }
            }
        }
    ]
}