审计结果报告 - Amazon CloudWatch 日志
所需的密钥政策用于将审计调查结果发现发送给 AWS KMS 保护的存储桶

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

审计结果报告

如果将 CloudWatch Logs 数据保护审计策略设置为将审计报告写入 CloudWatch Logs、Amazon S3 或 Firehose,则这些调查发现报告类似于以下示例。CloudWatch Logs 会为每个包含敏感数据的日志事件写入一份结果报告。

{
    "auditTimestamp": "2023-01-23T21:11:20Z",
    "resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*",
    "dataIdentifiers": [
        {
            "name": "EmailAddress",
            "count": 2,
            "detections": [
                {
                    "start": 13,
                    "end": 26
                },
{
                    "start": 30,
                    "end": 43
                }
            ]
        }
    ]
}

报告中的字段如下:

  • resourceArn 字段显示发现敏感数据的日志组。

  • dataIdentifiers 对象显示有关您正在审计的一种敏感数据的发现结果的信息。

  • name 字段标识此部分报告的敏感数据类型。

  • count 字段显示此类敏感数据在日志事件中出现的次数。

  • startend 字段按字符计数显示日志事件中每次出现敏感数据的位置。

前面的示例显示了在一个日志事件中找到两个电子邮件地址的报告。第一个电子邮件地址从日志事件的第 13 个字符开始,到第 26 个字符结束。第二个电子邮件地址从第 30 个字符到第 43 个字符。即使此日志事件有两个电子邮件地址,LogEventsWithFindings 指标的值也只递增一,因为该指标计算包含敏感数据的日志事件的数量,而不是敏感数据的出现次数。

所需的密钥政策用于将审计调查结果发现发送给 AWS KMS 保护的存储桶

您可以通过启用 Amazon S3 托管式密钥的服务器端加密 (SSE-S3) 或 KMS 密钥的服务器端加密 (SSE-KMS) 来保护 Amazon S3 存储桶中的数据。有关详情,请参阅《Amazon S3 用户指南》中的使用服务器端加密保护数据

如果将审计调查结果发送到 SSE-S3 保护的存储桶,则不需要额外的配置。Amazon S3 处理加密密钥。

如果将审计调查发现发送到 SSE-KMS 保护的存储桶,则您必须更新 KMS 密钥的密钥政策,以确保日志传输账户可以写入您的 S3 存储桶。有关与 SSE-KMS 结合使用时必需的密钥策略的更多信息,请参阅 Amazon CloudWatch Logs 用户指南中的 Amazon S3