稽核問題清單報告 - Amazon CloudWatch Logs
將稽核發現項目傳送至受保護的值區的必要金鑰政策 AWS KMS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

稽核問題清單報告

如果您將 CloudWatch 日誌資料保護稽核政策設定為將稽核報告寫入 CloudWatch 日誌、Amazon S3 或 Firehose,則這些發現項目報告與下列範例類似。 CloudWatch 記錄檔會為每個包含敏感資料的記錄事件寫入一份發現項目報告。

{
    "auditTimestamp": "2023-01-23T21:11:20Z",
    "resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*",
    "dataIdentifiers": [
        {
            "name": "EmailAddress",
            "count": 2,
            "detections": [
                {
                    "start": 13,
                    "end": 26
                },
{
                    "start": 30,
                    "end": 43
                }
            ]
        }
    ]
}

報告中的欄位如下所示:

  • resourceArn 欄位會顯示在其中找到敏感資料的日誌群組。

  • dataIdentifiers 物件會顯示您正在稽核的某種敏感資料的問題清單相關資訊。

  • name 欄位可識別此區段所報告的敏感資料類型。

  • count 欄位會顯示此種敏感資料在日誌事件中出現的次數。

  • startend 欄位會依字元計數顯示日誌事件中每次出現敏感資料的位置。

上一個範例顯示在一個日誌事件中尋找兩個電子郵件地址的報告。第一個電子郵件地址從日誌事件的第 13 個字元開始,並在第 26 個字元處結束。第二個電子郵件地址從第 30 個字元一直到第 43 個字元。即使此日誌事件有兩個電子郵件地址,LogEventsWithFindings 指標的值也只會遞增 1,因為該指標會對包含敏感資料的日誌事件計數,而非計算敏感資料的出現次數。

將稽核發現項目傳送至受保護的值區的必要金鑰政策 AWS KMS

您可以使用 Amazon S3 受管金鑰 (-S3) 啟用伺服器端加密,或使用金鑰 (SSE-) 啟用伺服器端加密,以保護 Amazon S3 儲存貯體中的KMS資料SSE。KMS如需詳細資訊,請參閱《Amazon S3 使用者指南》中的使用伺服器端加密保護資料

如果您將稽核發現項目傳送至受 SSE-S3 保護的儲存貯體,則不需要額外的設定。Amazon S3 會處理加密金鑰。

如果您將稽核發現項目傳送至受 SSE-保護的儲存貯體KMS,則必須更新金鑰的KMS金鑰政策,以便日誌傳遞帳戶可以寫入 S3 儲存貯體。如需與 SSE-搭配使用所需金鑰政策的詳細資訊KMS,請參閱 Amazon CloudWatch 日誌使用者指南Amazon S3中的。