Rapports de résultats d'audit - Amazon CloudWatch Logs
Politique clé requise pour envoyer les résultats de l'audit à un compartiment protégé par AWS KMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rapports de résultats d'audit

Si vous configurez CloudWatch des politiques d'audit de protection des données de CloudWatch Logs pour rédiger des rapports d'audit pour Logs, Amazon S3 ou Firehose, ces rapports de résultats sont similaires à l'exemple suivant. CloudWatch Logs rédige un rapport de résultats pour chaque événement de journal contenant des données sensibles.

{
    "auditTimestamp": "2023-01-23T21:11:20Z",
    "resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*",
    "dataIdentifiers": [
        {
            "name": "EmailAddress",
            "count": 2,
            "detections": [
                {
                    "start": 13,
                    "end": 26
                },
{
                    "start": 30,
                    "end": 43
                }
            ]
        }
    ]
}

Les champs du rapport sont les suivants :

  • Le champ resourceArn affiche le groupe de journaux dans lequel les données sensibles ont été trouvées.

  • L'objet dataIdentifiers affiche des informations sur les résultats relatifs à un type de données sensibles que vous auditez.

  • Le champ name identifie le type de données sensibles dont traite cette section.

  • Le champ count indique le nombre de fois que ce type de données sensibles apparaît dans l'événement du journal.

  • Les champs start et end indiquent où chaque occurrence des données sensibles apparaît dans l'événement du journal, par nombre de caractères.

L'exemple précédent montre un rapport indiquant la recherche de deux adresses e-mail dans un événement du journal. La première adresse e-mail commence au 13e caractère d'événement du journal et se termine au 26e caractère. La deuxième adresse e-mail est comprise entre le 30e et le 43e caractère. Même si cet événement du journal possède deux adresses e-mail, la valeur de la métrique LogEventsWithFindings n'est incrémentée que d'une unité, car cette métrique compte le nombre d'événements du journal contenant des données sensibles et non le nombre d'occurrences de données sensibles.

Politique clé requise pour envoyer les résultats de l'audit à un compartiment protégé par AWS KMS

Vous pouvez protéger les données d'un compartiment Amazon S3 en activant le chiffrement côté serveur avec des clés gérées par Amazon SSE S3 (-S3) ou le chiffrement côté serveur avec des clés (-). KMS SSE KMS Pour plus d'informations, consultez Protection des données à l'aide du chiffrement côté serveur dans le Guide de l'utilisateur d'Amazon S3.

Si vous envoyez les résultats de l'audit à un compartiment protégé par SSE -S3, aucune configuration supplémentaire n'est requise. Amazon S3 gère la clé de chiffrement.

Si vous envoyez les résultats d'audit à un compartiment protégé par SSE -KMS, vous devez mettre à jour la politique de clé pour votre KMS clé afin que le compte de livraison du journal puisse écrire dans votre compartiment S3. Pour plus d'informations sur la politique clé requise pour une utilisation avec SSE -KMS, consultez Amazon S3 le guide de l'utilisateur Amazon CloudWatch Logs.