Création d'une politique de protection des données pour un seul groupe de journaux - Amazon CloudWatch Logs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une politique de protection des données pour un seul groupe de journaux

Vous pouvez utiliser la console CloudWatch Logs ou AWS CLI commandes pour créer une politique de protection des données afin de masquer les données sensibles.

Vous pouvez attribuer une politique de protection des données à chaque groupe de journaux. Chaque politique de protection des données peut être auditée pour plusieurs types d'informations. Chaque politique de protection des données peut inclure une déclaration d'audit.

Console

Utilisation de la console pour la création d'une politique de protection des données
  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le panneau de navigation de gauche, choisissez Logs (Journaux), Log groups (Groupes de journaux).

  3. Choisissez le nom du groupe de journaux.

  4. Choisissez Actions, puis Create data protection policy (Créer une politique de protection des données).

  5. Pour les identificateurs de données gérées, sélectionnez les types de données que vous souhaitez auditer et masquer dans ce groupe de journaux. Vous pouvez saisir dans la zone de sélection pour trouver les identifiants souhaités.

    Nous vous recommandons de sélectionner uniquement les identifiants de données pertinents pour vos données de journal et votre activité. Le choix de plusieurs types de données peut entraîner des faux positifs.

    Pour plus de détails sur les types de données que vous pouvez protéger à l'aide d'identifiants de données gérés, consultezTypes de données que vous pouvez protéger.

  6. (Facultatif) Si vous souhaitez auditer et masquer d'autres types de données à l'aide d'identifiants de données personnalisés, choisissez Ajouter un identifiant de données personnalisé. Entrez ensuite un nom pour le type de données et l'expression régulière à utiliser pour rechercher ce type de données dans le journal des événements. Pour de plus amples informations, veuillez consulter Identificateurs des données personnalisés.

    Une seule politique de protection des données peut inclure jusqu'à 10 identifiants de données personnalisés. Chaque expression régulière qui définit un identifiant de données personnalisé doit comporter 200 caractères ou moins.

  7. (Facultatif) Choisissez un ou plusieurs services auxquels envoyer les résultats de l'audit. Même si vous choisissez de ne pas envoyer les résultats d'audit à l'un de ces services, les types de données sensibles que vous sélectionnez resteront masqués.

  8. Choisissez Activate data protection (Activer la protection des données).

AWS CLI

Pour utiliser le plugin AWS CLI pour créer une politique de protection des données
  1. Utilisez un éditeur de texte pour créer un fichier de politique nommé DataProtectionPolicy.json. Pour plus d'informations sur la syntaxe des politiques, consultez la section suivante.

  2. Entrez la commande suivante :

    aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2

Syntaxe de politique de protection des données pour AWS CLI ou API opérations

Lorsque vous créez une politique JSON de protection des données à utiliser dans un AWS CLI commande ou API opération, la politique doit inclure deux JSON blocs :

  • Le premier bloc doit comprendre à la fois un tableau DataIdentifer et une Operation propriété avec une Audit action. Le DataIdentifer tableau répertorie les types de données sensibles que vous souhaitez masquer. Pour obtenir des informations détaillées sur toutes les options disponibles, veuillez consulter Types de données que vous pouvez protéger.

    La Operation propriété associée à une Audit action est requise pour trouver les termes relatifs aux données sensibles. Cette action Audit doit contenir un objet FindingsDestination. Vous pouvez éventuellement utiliser cet objet FindingsDestination pour répertorier une ou plusieurs destinations vers lesquelles envoyer les rapports de résultats d'audit. Si vous spécifiez des destinations telles que des groupes de journaux, des flux Amazon Data Firehose et des compartiments S3, elles doivent déjà exister. Pour obtenir un exemple de rapport de résultats d'audit, veuillez consulter Rapports de résultats d'audit.

  • Le deuxième bloc doit comprendre à la fois un tableau DataIdentifer et une propriété Operation avec une action Deidentify. Le tableau DataIdentifer doit correspondre exactement au DataIdentifer tableau du premier bloc de la politique.

    La propriété Operation associée à l'action Deidentify est ce qui masque réellement les données, et elle doit contenir l'objet "MaskConfig": {}. L'objet "MaskConfig": {} doit être vide.

Voici un exemple de politique de protection des données qui masque les adresses électroniques et les permis de conduire américains.

{ "Name": "data-protection-policy", "Description": "test description", "Version": "2021-06-01", "Statement": [{ "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Audit": { "FindingsDestination": { "CloudWatchLogs": { "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT," }, "Firehose": { "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT" }, "S3": { "Bucket": "EXISTING_BUCKET" } } } } }, { "Sid": "redact-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Deidentify": { "MaskConfig": {} } } } ] }