Security OU — Konto protokollieren - AWS Präskriptive Leitlinien
Zentralisierter Protokollspeicher

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security OU — Konto protokollieren

Wir würden uns freuen, von Ihnen zu hören. Bitte geben Sie Feedback zur AWS PRA, indem Sie an einer kurzen Umfrage teilnehmen.

Mit dem Log Archive-Konto zentralisieren Sie Infrastruktur-, Service- und Anwendungsprotokolltypen. Weitere Informationen zu diesem Konto finden Sie in der AWS Security Reference Architecture (AWS SRA). Mit einem speziellen Konto für Protokolle können Sie konsistente Warnmeldungen für alle Protokolltypen einrichten und sicherstellen, dass Incident Responder von einem zentralen Ort aus auf eine Zusammenfassung dieser Protokolle zugreifen können. Sie können auch Sicherheitskontrollen und Richtlinien zur Datenspeicherung von einem zentralen Ort aus einrichten, was den betrieblichen Aufwand für den Datenschutz vereinfachen kann. Das folgende Diagramm zeigt die AWS Sicherheits- und Datenschutzdienste, die im Log Archive-Konto konfiguriert sind.

AWS-Services im Log Archive-Konto in der Organisationseinheit Security bereitgestellt.

Zentralisierter Protokollspeicher

Protokolldateien (z. B. AWS CloudTrail Protokolle) können Informationen enthalten, die als personenbezogene Daten betrachtet werden könnten. Einige Organisationen entscheiden sich für die Verwendung eines Organization Trails, um die CloudTrail Logs kontenübergreifend AWS-Regionen und kontenübergreifend an einem zentralen Ort zu sammeln, um die Übersicht zu behalten. Weitere Informationen finden Sie unter AWS CloudTrail in diesem Handbuch. Bei der Implementierung der Zentralisierung von CloudTrail Protokollen werden die Protokolle normalerweise in einem Amazon Simple Storage Service (Amazon S3) -Bucket in einer einzigen Region gespeichert.

Abhängig von der Definition personenbezogener Daten in Ihrem Unternehmen und den geltenden regionalen Datenschutzbestimmungen müssen Sie möglicherweise grenzüberschreitende Datenübertragungen in Betracht ziehen. Wenn Ihr Unternehmen die Datenübertragungsanforderungen der regionalen Datenschutzbestimmungen erfüllen muss, können Ihnen die folgenden Optionen helfen:

  1. Wenn Ihre Organisation Dienste für Datensubjekte in mehreren Ländern anbietet, können Sie sich dafür entscheiden, alle Protokolle in dem Land zu aggregieren, in dem die strengsten Anforderungen an die Datenresidenz gelten. AWS Cloud Wenn Sie beispielsweise in Deutschland tätig sind und dort die strengsten Anforderungen gelten, können Sie Daten in einem S3-Bucket aggregieren, eu-central-1 AWS-Region sodass die in Deutschland gesammelten Daten die Grenzen Deutschland nicht verlassen. Für diese Option können Sie einen einzelnen Organisationspfad konfigurieren CloudTrail , in dem Logs aus allen Konten und AWS-Regionen in der Zielregion zusammengefasst werden.

  2. Redigieren Sie die personenbezogenen Daten, die in der verbleiben müssen, AWS-Region bevor die Daten kopiert und in eine andere Region aggregiert werden. Sie können beispielsweise die personenbezogenen Daten in der Hostregion der Anwendung maskieren, bevor Sie die Protokolle in eine andere Region übertragen. Weitere Informationen zum Maskieren personenbezogener Daten finden Sie im Amazon Data Firehose Abschnitt dieses Handbuchs.

Ermitteln Sie gemeinsam mit Ihrem Rechtsberater, welche personenbezogenen Daten in den Geltungsbereich fallen und welche AWS Region-to-Region Übertragungen zulässig sind.