使用遮罩功能協助保護敏感日誌資料 - Amazon CloudWatch Logs

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用遮罩功能協助保護敏感日誌資料

您可以使用記錄群組資料保護原則,協助保護 CloudWatch 記錄所擷取的敏感資料。這些政策可讓您稽核和遮罩出現在帳戶中日誌群組擷取之日誌事件中的敏感資料。

當您建立資料保護原則時,依預設,會在所有輸出點 (包括 CloudWatch Logs Insights、指標篩選器和訂閱篩選器) 上遮罩符合您選取之資料識別碼的敏感資料。只有具有logs:UnmaskIAM權限的使用者才能檢視未遮罩的資料。

您可以為帳戶中的所有日誌群組建立資料保護政策,也可以為個別日誌群組建立資料保護政策。當您為整個帳戶建立政策時,它會套用至現有的日誌群組和未來建立的日誌群組。

如果您為整個帳戶建立資料保護政策,並且也為單一日誌群組建立政策,則這兩個政策都會套用至該日誌群組。在任一政策中指定的所有受管資料識別符都會在該日誌群組中進行稽核和遮罩。

注意

只有標準記錄類別中的記錄群組才支援遮罩敏感資料。如果您為帳戶中的所有記錄群組建立資料保護政策,它只會套用至標準記錄類別中的記錄群組。如需記錄類別的詳細資訊,請參閱日誌類

每個日誌群組只能有一個日誌群組層級資料保護政策,但該政策可以指定許多受管資料識別符來稽核和遮罩。資料保護政策的限制為 30,720 個字元。

重要

將敏感資料擷取至日誌群組時,系統會偵測這些資料並加以遮罩。系統不會遮罩在您設定資料保護政策之前擷取至日誌群組的日誌事件。

CloudWatch Logs 支援許多受管資料識別碼,這些識別碼提供預先設定的資料類型,您可以選擇保護財務資料、個人健康資訊 (PHI) 和個人識別資訊 (PII)。 CloudWatch 日誌資料保護可讓您利用模式比對和機器學習模型來偵測機密資料。對於某些類型的託管數據標識符,檢測還取決於找到與敏感數據相鄰的某些關鍵字。您還可以使用自定義數據標識符來創建根據您的特定用例量身定制的數據標識符。

CloudWatch 當偵測到符合您選取的資料識別碼的敏感資料時,就會發出指標。這是LogEventsWithFindings指標,它會在 AWS/Logs 命名空間中發出。您可以使用此量度建立 CloudWatch 警示,也可以在圖形和儀表板中將其視覺化。資料保護發出的指標是付費指標,但在此免費提供。如需有關 CloudWatch 記錄檔傳送至的指標的詳細資訊 CloudWatch,請參閱使用 CloudWatch 指標監控

每個受管理的資料識別碼都是設計來偵測特定類型的敏感資料,例如信用卡號碼、 AWS 特定國家或地區的秘密存取金鑰或護照號碼。建立資料保護政策時,您可以將 CloudWatch Logs 設定為使用這些識別符,來分析由日誌群組擷取的日誌,並在偵測到日誌時採取動作。

CloudWatch 記錄檔資料安全防護可以使用受管資料識別碼來偵測下列類別的敏感資料:

  • 認證,例如私密金鑰或 AWS 秘密存取金鑰

  • 財務資訊,例如信用卡號碼。

  • 個人身份信息(PII),例如駕駛執照或社會安全號碼

  • 受保護的 Health 信息(PHI),例如健康保險或醫療識別號碼

  • 裝置識別碼,例如 IP 位址或位MAC址

如需有關可保護之資料類型的詳細資訊,請參閱您可以保護的資料類型