Prüfergebnisberichte - CloudWatch Amazon-Protokolle
Erforderliche wichtige Richtlinie zum Senden von Prüfungsergebnissen an einen Bucket, der geschützt ist durch AWS KMS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Prüfergebnisberichte

Wenn Sie die Datenschutzprüfungsrichtlinien für CloudWatch Logs einrichten, um Auditberichte in CloudWatch Logs, Amazon S3 oder Firehose zu schreiben, ähneln diese Ergebnisberichte dem folgenden Beispiel. CloudWatch Logs schreibt für jedes Protokollereignis, das vertrauliche Daten enthält, einen Ergebnisbericht.

{
    "auditTimestamp": "2023-01-23T21:11:20Z",
    "resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*",
    "dataIdentifiers": [
        {
            "name": "EmailAddress",
            "count": 2,
            "detections": [
                {
                    "start": 13,
                    "end": 26
                },
{
                    "start": 30,
                    "end": 43
                }
            ]
        }
    ]
}

Die Felder im Bericht lauten wie folgt:

  • Das Feld resourceArn zeigt die Protokollgruppe an, in der die sensiblen Daten gefunden wurden.

  • Das Objekt dataIdentifiers zeigt Informationen zu den Ergebnissen für einen sensiblen Datentyp an, den Sie gerade prüfen.

  • Das Feld name gibt an, über welche Art von sensiblen Daten dieser Abschnitt berichtet.

  • Das Feld count zeigt an, wie oft diese Art von sensiblen Daten im Protokollereignis vorkommt.

  • Die Felder start und end zeigen, wo im Protokollereignis, nach Zeichenanzahl, jedes Vorkommen der sensiblen Daten erscheint.

Das vorherige Beispiel zeigt einen Bericht über das Auffinden von zwei E-Mail-Adressen in einem Protokollereignis. Die erste E-Mail-Adresse beginnt mit dem 13. Zeichen des Protokollereignisses und endet mit dem 26. Zeichen. Die zweite E-Mail-Adresse reicht vom 30. bis zum 43. Zeichen. Obwohl dieses Protokollereignis zwei E-Mail-Adressen hat, wird der Wert der LogEventsWithFindings-Metrik nur um eins erhöht, da diese Metrik die Anzahl der Protokollereignisse zählt, die vertrauliche Daten enthalten, nicht die Anzahl der Vorkommen vertraulicher Daten.

Erforderliche wichtige Richtlinie zum Senden von Prüfungsergebnissen an einen Bucket, der geschützt ist durch AWS KMS

Sie können die Daten in einem Amazon-S3-Bucket schützen, indem Sie entweder die serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) oder die serverseitige Verschlüsselung mit KMS-Schlüsseln (SSE-KMS) aktivieren. Weitere Informationen finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung im Amazon-S3-Entwicklerhandbuch.

Wenn Sie Audit-Ergebnisse an einen Bucket mit SSE-S3-Schutz senden, ist keine zusätzliche Konfiguration erforderlich. Amazon S3 verarbeitet den Verschlüsselungsschlüssel.

Wenn Sie Prüfungsergebnisse an einen Bucket mit SSE-KMS-Schutz senden, müssen Sie die Schlüsselrichtlinie für Ihren KMS-Schlüssel aktualisieren, damit das Protokollzustellungskonto in Ihren S3-Bucket schreiben kann. Weitere Informationen zur erforderlichen Schlüsselrichtlinie für die Verwendung mit SSE-KMS finden Sie Amazon S3 im Amazon CloudWatch Logs-Benutzerhandbuch.