Comment fonctionne la CloudWatch journalisation pour les tâches de découverte de données sensibles - Amazon Macie

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment fonctionne la CloudWatch journalisation pour les tâches de découverte de données sensibles

Lorsque vous commencez à exécuter des tâches de découverte de données sensibles, Amazon Macie crée et configure automatiquement les ressources appropriées dans Amazon CloudWatch Logs afin de consigner les événements relatifs à toutes vos tâches. Macie publie ensuite automatiquement les données des événements sur ces ressources lorsque vos tâches sont exécutées. La politique d'autorisation pour le rôle lié au service Macie pour votre compte permet à Macie d'effectuer ces tâches en votre nom. Il n'est pas nécessaire de prendre des mesures pour créer ou configurer des ressources dans CloudWatch les journaux ou pour enregistrer les données d'événements pour vos tâches.

Dans CloudWatch Logs, les logs sont organisés en groupes de logs. Chaque groupe de journaux contient des flux de journaux. Chaque flux de journal contient des événements de journal. L'objectif général de chacune de ces ressources est le suivant :

  • Un groupe de journaux est un ensemble de flux de journaux qui partagent les mêmes paramètres de conservation, de surveillance et de contrôle d'accès, par exemple la collecte de journaux pour toutes vos tâches de découverte de données sensibles.

  • Un flux de journal est une séquence d'événements de journal qui partagent la même source, par exemple une tâche individuelle de découverte de données sensibles.

  • Un événement de journal est un enregistrement d'une activité enregistrée par une application ou une ressource, par exemple un événement individuel enregistré et publié par Macie pour une tâche de découverte de données sensibles particulière.

Macie publie les événements relatifs à toutes vos tâches de découverte de données sensibles dans un seul groupe de journaux. Chaque tâche possède un flux de journal unique dans ce groupe de journaux. Le groupe de journaux porte le préfixe et le nom suivants :

/aws/macie/classificationjobs

Si ce groupe de journaux existe déjà, Macie l'utilise pour stocker les événements de journal relatifs à vos tâches. Cela peut être utile si votre organisation utilise une configuration automatisée, telle que AWS CloudFormation, pour créer des groupes de journaux avec des périodes de conservation prédéfinies, des paramètres de chiffrement, des balises, des filtres métriques, etc., pour les événements professionnels.

Si ce groupe de journaux n'existe pas, Macie le crée avec les paramètres par défaut utilisés par Logs pour les nouveaux groupes de CloudWatch journaux. Les paramètres incluent une période de conservation des journaux Never Expire, ce qui signifie que CloudWatch Logs stocke les journaux indéfiniment. Vous pouvez modifier la période de conservation du groupe de journaux. Pour savoir comment procéder, consultez la section Utilisation des groupes de journaux et des flux de CloudWatch journaux dans le guide de l'utilisateur Amazon Logs.

Au sein de ce groupe de journaux, Macie crée un flux de journal unique pour chaque tâche que vous exécutez, la première fois que la tâche est exécutée. Le nom du flux de journal est l'identifiant unique de la tâche, par exemple au format suivant : 85a55dc0fa6ed0be5939d0408example

/aws/macie/classificationjobs/85a55dc0fa6ed0be5939d0408example

Chaque flux de journal contient tous les événements de journal que Macie a enregistrés et publiés pour la tâche correspondante. Pour les tâches périodiques, cela inclut les événements relatifs à toutes les exécutions de la tâche. Si vous supprimez le flux de journal pour une tâche périodique, Macie le crée à nouveau lors de la prochaine exécution de la tâche. Si vous supprimez le flux de journal pour une tâche ponctuelle, vous ne pouvez pas le restaurer.

Notez que la journalisation est activée par défaut pour toutes vos tâches. Vous ne pouvez pas le désactiver ou empêcher Macie de publier des événements professionnels dans CloudWatch Logs. Si vous ne souhaitez pas stocker les journaux, vous pouvez réduire la période de conservation du groupe de journaux à un jour seulement. À la fin de la période de conservation, CloudWatch Logs supprime automatiquement les données d'événements expirées du groupe de journaux.