마스킹 처리를 통해 민감한 로그 데이터를 보호하도록 지원

CloudWatch 로그 그룹 데이터 보호 정책을 사용하여 로그에서 수집하는 민감한 데이터를 보호할 수 있습니다. 이러한 정책을 사용하면 계정의 로그 그룹에서 모은 로그 이벤트에 나타나는 민감한 데이터를 감사하고 마스킹할 수 있습니다.

데이터 보호 정책을 생성하면 기본적으로 선택한 데이터 식별자와 일치하는 민감한 데이터가 CloudWatch Logs Insights, 지표 필터 및 구독 필터를 포함하여 모든 송신 지점에서 마스킹됩니다. logs:Unmask IAM 권한이 있는 사용자만 마스킹되지 않은 데이터를 볼 수 있습니다.

계정의 모든 로그 그룹에 대한 데이터 보호 정책을 생성할 수 있으며 개별 로그 그룹에 대한 데이터 보호 정책을 생성할 수도 있습니다. 전체 계정에 대한 정책을 생성하면 기존 로그 그룹과 향후 생성되는 로그 그룹 모두에 적용됩니다.

전체 계정에 대한 데이터 보호 정책을 생성하고 단일 로그 그룹에 대한 정책도 생성하는 경우 두 정책 모두 해당 로그 그룹에 적용됩니다. 두 정책 중 하나에 지정된 모든 관리형 데이터 식별자는 해당 로그 그룹에서 감사되고 마스킹됩니다.

각 로그 그룹에는 로그 그룹 수준의 데이터 보호 정책이 하나만 있을 수 있지만 해당 정책은 감사하고 마스킹할 여러 관리형 데이터 식별자를 지정할 수 있습니다. 데이터 보호 정책의 한도는 30,720자입니다.

CloudWatch 로그는 재무 데이터, 개인 건강 정보() 및 개인 식별 정보()를 보호하기 위해 선택할 수 있는 사전 구성된 데이터 유형을 제공하는 여러 관리형 데이터 식별자를 지원합니다PII. CloudWatch 로그 데이터 보호를 사용하면 패턴 일치 및 기계 학습 모델을 활용하여 민감한 데이터를 감지할 수 있습니다.PHI 일부 관리형 데이터 식별자 유형의 경우, 민감한 데이터에 근접한 특정 키워드의 검색 결과에 따라 탐지가 달라집니다. 또한 사용자 지정 데이터 식별자를 사용하여 특정 사용 사례에 맞는 데이터 식별자를 생성할 수 있습니다.

선택한 데이터 식별자와 일치하는 민감한 데이터가 감지 CloudWatch 되면 지표가 로 내보내집니다. 이 지표는 LogEventsWithFindings AWS/Logs 네임스페이스에서 내보내집니다. 이 지표를 사용하여 CloudWatch 경보를 생성하고 그래프 및 대시보드에서 시각화할 수 있습니다. 데이터 보호에서 내보낸 지표는 판매된 지표이며 무료입니다. CloudWatch 로그가 보내는 지표에 대한 자세한 내용은 섹션을 CloudWatch참조하세요 CloudWatch 지표를 사용한 모니터링.

각 관리형 데이터 식별자는 특정 국가 또는 리전의 신용카드 번호, AWS 보안 액세스 키 또는 여권 번호와 같은 특정 유형의 민감한 데이터를 감지하도록 설계되었습니다. 데이터 보호 정책을 생성할 때 이러한 식별자를 사용하여 로그 그룹에서 수집한 로그를 분석하고, 감지되면 조치를 취하도록 구성할 수 있습니다.

CloudWatch 로그 데이터 보호는 관리형 데이터 식별자를 사용하여 다음과 같은 범주의 민감한 데이터를 감지할 수 있습니다.

보호할 수 있는 데이터 유형에 대한 자세한 내용은 보호할 수 있는 데이터 유형 섹션을 참조하세요.