Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d'une politique de protection des données pour un seul groupe de journaux
Vous pouvez utiliser la console CloudWatch Logs ou AWS CLI les commandes pour créer une politique de protection des données afin de masquer les données sensibles.
Vous pouvez attribuer une politique de protection des données à chaque groupe de journaux. Chaque politique de protection des données peut être auditée pour plusieurs types d'informations. Chaque politique de protection des données peut inclure une déclaration d'audit.
Console
Utilisation de la console pour la création d'une politique de protection des données
-
Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/
. -
Dans le panneau de navigation de gauche, choisissez Logs (Journaux), Log groups (Groupes de journaux).
Choisissez le nom du groupe de journaux.
Choisissez Actions, puis Create data protection policy (Créer une politique de protection des données).
Pour les identificateurs de données gérées, sélectionnez les types de données que vous souhaitez auditer et masquer dans ce groupe de journaux. Vous pouvez saisir dans la zone de sélection pour trouver les identifiants souhaités.
Nous vous recommandons de sélectionner uniquement les identifiants de données pertinents pour vos données de journal et votre activité. Le choix de plusieurs types de données peut entraîner des faux positifs.
Pour plus de détails sur les types de données que vous pouvez protéger à l'aide d'identifiants de données gérés, consultezTypes de données que vous pouvez protéger.
(Facultatif) Si vous souhaitez auditer et masquer d'autres types de données à l'aide d'identifiants de données personnalisés, choisissez Ajouter un identifiant de données personnalisé. Entrez ensuite un nom pour le type de données et l'expression régulière à utiliser pour rechercher ce type de données dans le journal des événements. Pour plus d’informations, consultez Identificateurs des données personnalisés.
Une seule politique de protection des données peut inclure jusqu'à 10 identifiants de données personnalisés. Chaque expression régulière qui définit un identifiant de données personnalisé doit comporter 200 caractères ou moins.
(Facultatif) Choisissez un ou plusieurs services auxquels envoyer les résultats de l'audit. Même si vous choisissez de ne pas envoyer les résultats d'audit à l'un de ces services, les types de données sensibles que vous sélectionnez resteront masqués.
Choisissez Activate data protection (Activer la protection des données).
AWS CLI
Pour utiliser le AWS CLI pour créer une politique de protection des données
Utilisez un éditeur de texte pour créer un fichier de politique nommé
DataProtectionPolicy.json. Pour plus d'informations sur la syntaxe des politiques, consultez la section suivante.Entrez la commande suivante :
aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --regionus-west-2
Syntaxe de la politique de protection des données pour AWS CLI nos opérations d'API
Lorsque vous créez une politique de protection des données JSON à utiliser dans le cadre d'une AWS CLI commande ou d'une opération d'API, la politique doit inclure deux blocs JSON :
Le premier bloc doit comprendre à la fois un tableau
DataIdentiferet uneOperationpropriété avec uneAuditaction. LeDataIdentifertableau répertorie les types de données sensibles que vous souhaitez masquer. Pour obtenir des informations détaillées sur toutes les options disponibles, veuillez consulter Types de données que vous pouvez protéger.La
Operationpropriété associée à uneAuditaction est requise pour trouver les termes relatifs aux données sensibles. Cette actionAuditdoit contenir un objetFindingsDestination. Vous pouvez éventuellement utiliser cet objetFindingsDestinationpour répertorier une ou plusieurs destinations vers lesquelles envoyer les rapports de résultats d'audit. Si vous spécifiez des destinations telles que des groupes de journaux, des flux Amazon Data Firehose et des compartiments S3, elles doivent déjà exister. Pour obtenir un exemple de rapport de résultats d'audit, veuillez consulter Rapports de résultats d'audit.Le deuxième bloc doit comprendre à la fois un tableau
DataIdentiferet une propriétéOperationavec une actionDeidentify. Le tableauDataIdentiferdoit correspondre exactement auDataIdentifertableau du premier bloc de la politique.La propriété
Operationassociée à l'actionDeidentifyest ce qui masque réellement les données, et elle doit contenir l'objet"MaskConfig": {}. L'objet"MaskConfig": {}doit être vide.
Voici un exemple de politique de protection des données qui masque les adresses électroniques et les permis de conduire américains.
{ "Name": "data-protection-policy", "Description": "test description", "Version": "2021-06-01", "Statement": [{ "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Audit": { "FindingsDestination": { "CloudWatchLogs": { "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT," }, "Firehose": { "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT" }, "S3": { "Bucket": "EXISTING_BUCKET" } } } } }, { "Sid": "redact-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Deidentify": { "MaskConfig": {} } } } ] }
