Comprendre les politiques de protection des données - Amazon CloudWatch Logs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre les politiques de protection des données

En quoi consistent les politiques de protection des données ?

CloudWatch Logs utilise des politiques de protection des données pour sélectionner les données sensibles que vous souhaitez scanner et les mesures que vous souhaitez prendre pour protéger ces données. Pour sélectionner les données sensibles qui vous intéressent, vous utilisez des identifiants de données. CloudWatch La protection des données enregistre puis détecte les données sensibles à l'aide de l'apprentissage automatique et de la correspondance de modèles. Pour agir sur les identifiants de données détectés, vous pouvez définir des opérations d'audit et de désidentification. Ces opérations vous permettent de journaliser les données sensibles détectées et de masquer les données sensibles lorsque les événements du journal sont affichés.

Comment est structurée la politique de protection des données ?

Comme illustré dans la figure suivante, un document de politique de protection des données inclut les éléments suivants :

  • Informations facultatives sur l'ensemble de la politique (en haut du document)

  • Une instruction qui définit les actions d'audit et de désidentification

Une seule politique de protection des données peut être définie par groupe de CloudWatch journaux Logs. La politique de protection des données peut comporter une ou plusieurs instructions de refus ou d'anonymisation, mais seulement une instruction d'audit.

JSONpropriétés de la politique de protection des données

Une politique de protection des données nécessite les informations de politique de base suivantes à des fins d'identification :

  • Nom - Nom de la politique.

  • Description (Facultatif) - Description de la politique.

  • Version - Version du langage de la politique. La version actuelle est 2021-06-01.

  • Instruction - Liste d’instructions qui spécifie les actions de la politique de protection des données.

{ "Name": "CloudWatchLogs-PersonalInformation-Protection", "Description": "Protect basic types of sensitive data", "Version": "2021-06-01", "Statement": [ ... ] }

JSONpropriétés d'une déclaration de politique

Une instruction de politique définit le contexte de détection pour l'opération de protection des données.

  • Sid (facultatif) - L'identifiant de l’instruction.

  • DataIdentifier— Les données sensibles que CloudWatch Logs doit scanner. Par exemple, nom, adresse ou numéro de téléphone.

  • Opération — Les actions de suivi, qu'il s'agisse d'un audit ou d'une anonymisation. CloudWatch Logs exécute ces actions lorsqu'il trouve des données sensibles.

{ ... "Statement": [ { "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/Address" ], "Operation": { "Audit": { "FindingsDestination": {} } } },

JSONpropriétés d'une opération de déclaration de politique

Une instruction de politique définit l'une des opérations de protection des données suivantes.

  • Audit - Émet des métriques et de rapports de résultats sans interrompre la journalisation. Les chaînes qui correspondent incrémentent la LogEventsWithFindingsmétrique publiée par CloudWatch Logs dans l'espace de noms AWS/Logs. CloudWatch Vous pouvez utiliser ces métriques pour créer des alarmes.

    Pour obtenir un exemple de rapport de résultats, veuillez consulter Rapports de résultats d'audit.

    Pour plus d'informations sur les métriques auxquelles CloudWatch Logs envoie CloudWatch, consultezSurveillance à l'aide de CloudWatch métriques.

  • Désidentification - Masquer les données sensibles sans interrompre la journalisation.