Den Schutz vertraulicher Protokolldaten mit Maskierung unterstützen

Mithilfe von Datenschutzrichtlinien für Protokollgruppen können Sie dazu beitragen, sensible Daten, die in CloudWatch Logs aufgenommen werden, zu schützen. Mit diesen Richtlinien können Sie sensible Daten prüfen und maskieren, die in Protokollereignissen vorkommen, die von den Protokollgruppen in Ihrem Konto erfasst werden.

Wenn Sie eine Datenschutzrichtlinie erstellen, werden vertrauliche Daten, die den von Ihnen ausgewählten Datenkennungen entsprechen, standardmäßig an allen Ausgangspunkten maskiert, einschließlich CloudWatch Logs Insights, Metrikfiltern und Abonnementfiltern. Nur Benutzer mit der IAM-Berechtigung logs:Unmask können unmaskierte Daten anzeigen.

Sie können eine Datenschutzrichtlinie für alle Protokollgruppen in Ihrem Konto erstellen, und Sie können auch eine Datenschutzrichtlinie für einzelne Protokollgruppen erstellen. Wenn Sie eine Richtlinie für Ihr gesamtes Konto erstellen, gilt sie sowohl für bestehende Protokollgruppen als auch für Protokollgruppen, die in Zukunft erstellt werden.

Wenn Sie eine Datenschutzrichtlinie für Ihr gesamtes Konto und gleichzeitig eine Richtlinie für eine einzelne Protokollgruppe erstellen, gelten beide Richtlinien für diese Protokollgruppe. Alle verwalteten Datenidentifikatoren, die in einer der beiden Richtlinien angegeben sind, werden in dieser Protokollgruppe geprüft und maskiert.

Anmerkung

Das Maskieren sensibler Daten wird nur für Protokollgruppen der Standard-Protokollklasse unterstützt. Wenn Sie eine Datenschutzrichtlinie für alle Protokollgruppen in Ihrem Konto erstellen, gilt diese nur für Protokollgruppen der Standard-Protokollklasse. Weitere Informationen zu Protokollklassen finden Sie unterKlassen protokollieren.

Jede Protokollgruppe kann nur eine Datenschutzrichtlinie auf Protokollgruppenebene haben, aber diese Richtlinie kann viele verwaltete Datenkennungen angeben, die geprüft und maskiert werden sollen. Das Limit für eine Datenschutzrichtlinie beträgt 30 720 Zeichen.

Wichtig

Vertrauliche Daten werden erkannt und maskiert, wenn sie in die Protokollgruppe aufgenommen werden. Wenn Sie eine Datenschutzrichtlinie festlegen, werden Protokollereignisse, die vor diesem Zeitpunkt in die Protokollgruppe aufgenommen wurden, nicht maskiert.

CloudWatch Logs unterstützt viele verwaltete Datenkennungen, die vorkonfigurierte Datentypen bieten, die Sie auswählen können, um Finanzdaten, persönliche Gesundheitsinformationen (PHI) und persönlich identifizierbare Informationen (PII) zu schützen. CloudWatch Durch den Datenschutz von Logs können Sie Modelle für Musterabgleich und maschinelles Lernen nutzen, um sensible Daten zu erkennen. Bei einigen Typen verwalteter Datenkennungen hängt die Erkennung davon ab, dass auch bestimmte Schlüsselwörter gefunden werden, die sich in der Nähe der sensiblen Daten befinden. Sie können auch benutzerdefinierte Datenkennungen verwenden, um Datenkennungen zu erstellen, die auf Ihren speziellen Anwendungsfall zugeschnitten sind.

CloudWatch Wenn sensible Daten erkannt werden, wird eine Metrik ausgegeben, die mit den von Ihnen ausgewählten Datenkennungen übereinstimmt. Dies ist die LogEventsWithFindingsMetrik und sie wird im AWS/Logs-Namespace ausgegeben. Sie können diese Metrik verwenden, um CloudWatch Alarme zu erstellen, und Sie können sie in Diagrammen und Dashboards visualisieren. Die vom Datenschutz ausgegebenen Metriken sind angebotene Metriken und sind kostenlos. Weitere Informationen zu den Metriken, an die CloudWatch Logs sendet CloudWatch, finden Sie unterÜberwachung mit CloudWatch Metriken.

Jeder verwaltete Datenbezeichner ist darauf ausgelegt, eine bestimmte Art vertraulicher Daten zu erkennen, z. B. Kreditkartennummern, AWS geheime Zugangsschlüssel oder Passnummern für ein bestimmtes Land oder eine bestimmte Region. Beim Erstellen einer Datenschutzrichtlinie können Sie es so konfigurieren, dass diese Kennungen von der Protokollgruppe aufgenommene Protokolle analyisieren und bei entsprechender Erkennung Maßnahmen ergreifen.

CloudWatch Logs Data Protection kann mithilfe verwalteter Datenkennungen die folgenden Kategorien sensibler Daten erkennen:

• Anmeldeinformationen, wie private Schlüssel oder AWS geheime Zugangsschlüssel

• Finanzinformationen, wie Kreditkartennummern

• Persönlich identifizierbare Informationen (PII), wie Führerscheine oder Sozialversicherungsnummern

• Geschützte Gesundheitsdaten, wie Krankenversicherungs- oder medizinische Identifikationsnummern

• Gerätekennungen, wie IP-Adressen oder MAC-Adressen

Einzelheiten zu den Datentypen, die Sie schützen können, finden Sie unter Arten von Daten, die Sie schützen können.

Inhalt

• Informationen über Datenschutzrichtlinien
  • Was sind Datenschutzrichtlinien?
  • Wie ist die Datenschutzrichtlinie aufgebaut?
    • JSON-Eigenschaften für die Datenschutzrichtlinie
    • JSON-Eigenschaften für eine Richtlinienanweisung
    • JSON-Eigenschaften für eine Richtlinienanweisungsoperation
• Erforderliche IAM-Berechtigungen zum Erstellen oder Arbeiten mit einer Datenschutzrichtlinie
  • Für Datenschutzrichtlinien auf Kontoebene sind Berechtigungen erforderlich
  • Erforderliche Berechtigungen für Datenschutzrichtlinien für eine einzelne Protokollgruppe
  • Beispiel-Datenschutzrichtlinie
• Erstellen einer kontoweiten Datenschutzrichtlinie
  • Konsole
  • AWS CLI
    • Syntax der Datenschutzrichtlinie für AWS CLI unsere API-Operationen
• Erstellen einer Datenschutzrichtlinie für eine einzelne Protokollgruppe
  • Konsole
  • AWS CLI
    • Syntax der Datenschutzrichtlinie für AWS CLI unsere API-Operationen
• Unmaskierte Daten anzeigen
• Prüfergebnisberichte
  • Erforderliche wichtige Richtlinie zum Senden von Prüfungsergebnissen an einen Bucket, der geschützt ist durch AWS KMS
• Arten von Daten, die Sie schützen können
  • CloudWatch Protokolliert verwaltete Datenbezeichner für sensible Datentypen
    • Anmeldeinformationen
      • Datenkennungs-ARNs für Anmeldeinformations-Datentypen
    • Gerätekennungen
      • Datenkennungs-ARNs für Gerätedatentypen
    • Finanzinformationen
      • Datenkennungs-ARNs für Finanzdatentypen
    • Geschützte Gesundheitsdaten
      • Datenkennungs-ARNs für geschützte Gesundheitsdatentypen (PHI)
    • Persönlich Identifizierbare Informationen (PII)
      • Schlüsselwörter für Identifikationsnummern des Führerscheins
      • Schlüsselwörter für nationale Identifikationsnummern
      • Schlüsselwörter für Passnummern
      • Schlüsselwörter für Steuerpflichtigenidentifikations- und Referenznummern
      • Datenkennungs-ARNS für persönlich identifizierbare Informationen (PII)
  • Benutzerdefinierte Datenbezeichner
    • Was sind benutzerdefinierte SNS-Datenkennungen?
    • Einschränkungen für benutzerdefinierte Datenkennungen
    • Verwenden von benutzerdefinierten Datenkennungen in der Konsole
    • Verwenden benutzerdefinierter Datenkennungen in Ihrer Datenschutzrichtlinie