Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d'une politique de protection des données pour un seul groupe de journaux
Vous pouvez utiliser la console CloudWatch Logs ou AWS CLI commandes pour créer une politique de protection des données afin de masquer les données sensibles.
Vous pouvez attribuer une politique de protection des données à chaque groupe de journaux. Chaque politique de protection des données peut être auditée pour plusieurs types d'informations. Chaque politique de protection des données peut inclure une déclaration d'audit.
Console
Utilisation de la console pour la création d'une politique de protection des données
-
Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/
. -
Dans le panneau de navigation de gauche, choisissez Logs (Journaux), Log groups (Groupes de journaux).
Choisissez le nom du groupe de journaux.
Choisissez Actions, puis Create data protection policy (Créer une politique de protection des données).
Pour les identificateurs de données gérées, sélectionnez les types de données que vous souhaitez auditer et masquer dans ce groupe de journaux. Vous pouvez saisir dans la zone de sélection pour trouver les identifiants souhaités.
Nous vous recommandons de sélectionner uniquement les identifiants de données pertinents pour vos données de journal et votre activité. Le choix de plusieurs types de données peut entraîner des faux positifs.
Pour plus de détails sur les types de données que vous pouvez protéger à l'aide d'identifiants de données gérés, consultezTypes de données que vous pouvez protéger.
(Facultatif) Si vous souhaitez auditer et masquer d'autres types de données à l'aide d'identifiants de données personnalisés, choisissez Ajouter un identifiant de données personnalisé. Entrez ensuite un nom pour le type de données et l'expression régulière à utiliser pour rechercher ce type de données dans le journal des événements. Pour de plus amples informations, veuillez consulter Identificateurs des données personnalisés.
Une seule politique de protection des données peut inclure jusqu'à 10 identifiants de données personnalisés. Chaque expression régulière qui définit un identifiant de données personnalisé doit comporter 200 caractères ou moins.
(Facultatif) Choisissez un ou plusieurs services auxquels envoyer les résultats de l'audit. Même si vous choisissez de ne pas envoyer les résultats d'audit à l'un de ces services, les types de données sensibles que vous sélectionnez resteront masqués.
Choisissez Activate data protection (Activer la protection des données).
AWS CLI
Pour utiliser le plugin AWS CLI pour créer une politique de protection des données
Utilisez un éditeur de texte pour créer un fichier de politique nommé
DataProtectionPolicy.json
. Pour plus d'informations sur la syntaxe des politiques, consultez la section suivante.Entrez la commande suivante :
aws logs put-data-protection-policy --log-group-identifier "
my-log-group
" --policy-document file:///Path/DataProtectionPolicy.json --regionus-west-2
Syntaxe de politique de protection des données pour AWS CLI ou API opérations
Lorsque vous créez une politique JSON de protection des données à utiliser dans un AWS CLI commande ou API opération, la politique doit inclure deux JSON blocs :
Le premier bloc doit comprendre à la fois un tableau
DataIdentifer
et uneOperation
propriété avec uneAudit
action. LeDataIdentifer
tableau répertorie les types de données sensibles que vous souhaitez masquer. Pour obtenir des informations détaillées sur toutes les options disponibles, veuillez consulter Types de données que vous pouvez protéger.La
Operation
propriété associée à uneAudit
action est requise pour trouver les termes relatifs aux données sensibles. Cette actionAudit
doit contenir un objetFindingsDestination
. Vous pouvez éventuellement utiliser cet objetFindingsDestination
pour répertorier une ou plusieurs destinations vers lesquelles envoyer les rapports de résultats d'audit. Si vous spécifiez des destinations telles que des groupes de journaux, des flux Amazon Data Firehose et des compartiments S3, elles doivent déjà exister. Pour obtenir un exemple de rapport de résultats d'audit, veuillez consulter Rapports de résultats d'audit.Le deuxième bloc doit comprendre à la fois un tableau
DataIdentifer
et une propriétéOperation
avec une actionDeidentify
. Le tableauDataIdentifer
doit correspondre exactement auDataIdentifer
tableau du premier bloc de la politique.La propriété
Operation
associée à l'actionDeidentify
est ce qui masque réellement les données, et elle doit contenir l'objet"MaskConfig": {}
. L'objet"MaskConfig": {}
doit être vide.
Voici un exemple de politique de protection des données qui masque les adresses électroniques et les permis de conduire américains.
{ "Name": "data-protection-policy", "Description": "test description", "Version": "2021-06-01", "Statement": [{ "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Audit": { "FindingsDestination": { "CloudWatchLogs": { "LogGroup": "
EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT
," }, "Firehose": { "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT
" }, "S3": { "Bucket": "EXISTING_BUCKET
" } } } } }, { "Sid": "redact-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Deidentify": { "MaskConfig": {} } } } ] }