Identificateurs des données personnalisés - Amazon CloudWatch Logs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Identificateurs des données personnalisés

En quoi consistent les identifiants de données personnalisés ?

Les identificateurs de données personnalisés (CDIs) vous permettent de définir vos propres expressions régulières personnalisées qui peuvent être utilisées dans votre politique de protection des données. À l'aide d'identifiants de données personnalisés, vous pouvez cibler des cas d'utilisation d'informations personnellement identifiables spécifiques à l'entreprise (PII) que les identifiants de données gérés ne peuvent pas fournir. Par exemple, vous pouvez utiliser un identifiant de données personnalisé pour rechercher un employé spécifique à l'entreprise. IDs Les identifiants de données personnalisés peuvent être utilisés conjointement avec des identifiants de données gérés.

Contraintes liées aux identifiants de données personnalisés

CloudWatch Les identifiants de données personnalisés des journaux présentent les limites suivantes :

  • Le nombre d'identifiants de données personnalisés pris en charge pour chaque politique de protection des données est limité à 10.

  • Les noms d'identificateurs de données personnalisés ont une longueur maximale de 128 caractères. Les caractères pris en charge sont les suivants :

    • Alphanumériques : (a-zA-Z0-9)

    • Symboles : ( '_' | '-' )

  • RegEx a une longueur maximale de 200 caractères. Les caractères pris en charge sont les suivants :

    • Alphanumériques : (a-zA-Z0-9)

    • Symboles : ( '_' | '#' | '=' | '@' |'/' | ';' | ',' | '-' | ' ' )

    • RegEx caractères réservés : ('^' | '$' | '?' | '[' | ']' | '{' | '}' | '|' \ \ '|' * '|' * '|' + '|'. ')

  • Les identifiants de données personnalisés ne peuvent pas avoir le même nom qu'un identifiant de données géré.

  • Les identifiants de données personnalisés peuvent être spécifiés dans une politique de protection des données au niveau du compte ou dans des politiques de protection des données au niveau du groupe de journaux. À l'instar des identifiants de données gérés, les identifiants de données personnalisés définis dans le cadre d'une politique au niveau du compte fonctionnent en combinaison avec les identifiants de données personnalisés définis dans une politique au niveau du groupe de journaux.

Utilisation d'identifiants de données personnalisés dans la console

Lorsque vous utilisez la CloudWatch console pour créer ou modifier une politique de protection des données, pour spécifier un identifiant de données personnalisé, il vous suffit de saisir un nom et une expression régulière pour l'identifiant de données. Par exemple, vous pouvez saisir Employee_ID le EmployeeID-\d{9} nom et l'expression régulière. Cette expression régulière détectera et masquera les événements du journal suivis de neuf chiffresEmployeeID-. Par exemple, EmployeeID-123456789

Utilisation d'identifiants de données personnalisés dans votre politique de protection des données

Si vous utilisez le AWS CLI or AWS APIpour spécifier un identifiant de données personnalisé, vous devez inclure le nom de l'identifiant de données et l'expression régulière dans la JSON politique utilisée pour définir la politique de protection des données. La politique de protection des données suivante détecte et masque les événements enregistrés qui concernent des employés spécifiques à l'entreprise. IDs

  1. Créez un bloc Configuration dans votre politique de protection des données.

  2. Nommez votre identifiant de données personnalisé dans Name. Par exemple, EmployeeId.

  3. Nommez votre identifiant de données personnalisé dans Regex. Par exemple, EmployeeID-\d{9}. Cette expression régulière correspondra aux événements du journal EmployeeID- contenant neuf chiffres aprèsEmployeeID-. Par exemple, EmployeeID-123456789

  4. Faites référence à l'identifiant de données personnalisé suivant dans une déclaration de politique.

    { "Name": "example_data_protection_policy", "Description": "Example data protection policy with custom data identifiers", "Version": "2021-06-01", "Configuration": { "CustomDataIdentifier": [ {"Name": "EmployeeId", "Regex": "EmployeeId-\\d{9}"} ] }, "Statement": [ { "Sid": "audit-policy", "DataIdentifier": [ "EmployeeId" ], "Operation": { "Audit": { "FindingsDestination": { "S3": { "Bucket": "EXISTING_BUCKET" } } } } }, { "Sid": "redact-policy", "DataIdentifier": [ "EmployeeId" ], "Operation": { "Deidentify": { "MaskConfig": { } } } } ] }
  5. (Facultatif) Continuez à ajouter des identificateurs de données personnalisés supplémentaires au bloc Configuration, si nécessaire. Les politiques de protection des données prennent actuellement en charge au maximum 10 identifiants de données personnalisés.