Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat kebijakan perlindungan data untuk grup log
Anda dapat menggunakan konsol CloudWatch Log atauAWS CLI perintah untuk membuat kebijakan perlindungan data untuk menutupi data sensitif.
Anda dapat menetapkan satu kebijakan perlindungan data untuk setiap grup log. Setiap kebijakan perlindungan data dapat mengaudit berbagai jenis informasi. Setiap kebijakan perlindungan data dapat mencakup satu pernyataan audit.
Konsol
Menggunakan konsol untuk membuat kebijakan perlindungan data
-
Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/
. -
Di panel navigasi, pilih Log, Log grup.
Pilih nama grup log.
Pilih Tindakan, Buat kebijakan perlindungan data.
Untuk Pengidentifikasi data, pilih jenis data yang ingin Anda audit dan tutupi dalam grup log ini. Anda dapat mengetikkan kotak pilihan untuk menemukan pengidentifikasi yang Anda inginkan.
Kami menyarankan Anda memilih hanya pengidentifikasi data yang relevan untuk data log dan bisnis Anda. Memilih banyak jenis data dapat menyebabkan positif palsu.
Untuk detail tentang jenis data yang dapat Anda lindungi, lihatJenis data yang dapat Anda lindungi.
(Opsional) Pilih satu atau beberapa layanan untuk mengirim temuan audit. Meskipun Anda memilih untuk tidak mengirim temuan audit ke salah satu layanan ini, jenis data sensitif yang Anda pilih akan tetap tertutup.
Pilih Aktifkan perlindungan data.
AWS CLI
Untuk menggunakanAWS CLI untuk membuat kebijakan perlindungan data
Gunakan editor teks untuk membuat file kebijakan bernama
DataProtectionPolicy.json. Untuk informasi tentang sintaks kebijakan, lihat bagian berikut.Masukkan perintah berikut:
aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --regionus-west-2
Sintaks kebijakan perlindungan data
Saat Anda membuat kebijakan perlindungan data JSON untuk digunakan dalamAWS CLI perintah atau operasi API, kebijakan harus menyertakan dua blok JSON:
Blok pertama harus mencakup
DataIdentiferarray danOperationproperti denganAudittindakan.DataIdentiferArray mencantumkan jenis data sensitif yang ingin Anda topeng. Untuk informasi lebih lanjut tentang opsi yang tersedia, lihat Jenis data yang dapat Anda lindungi.OperationProperti denganAudittindakan diperlukan untuk menemukan istilah data sensitif.AuditTindakan ini harus berisiFindingsDestinationobjek. Anda dapat menggunakanFindingsDestinationobjek tersebut secara opsional untuk mencantumkan satu atau beberapa tujuan untuk mengirim temuan audit. Jika Anda menentukan tujuan seperti grup log, aliran Amazon Kinesis Data Firehose, dan bucket S3, mereka harus sudah ada.Blok kedua harus mencakup
DataIdentiferarray danOperationproperti denganDeidentifytindakan.DataIdentiferArray harus sama persis denganDataIdentiferarray di blok pertama kebijakan.OperationProperti denganDeidentifytindakan adalah apa yang benar-benar topeng data, dan itu harus berisi"MaskConfig": {}objek."MaskConfig": {}Objek harus kosong.
Berikut ini adalah contoh kebijakan perlindungan data yang menutupi alamat email dan SIM Amerika Serikat.
{ "Name": "data-protection-policy", "Description": "test description", "Version": "2021-06-01", "Statement": [{ "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Audit": { "FindingsDestination": { "CloudWatchLogs": { "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT," }, "Firehose": { "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT" }, "S3": { "Bucket": "EXISTING_BUCKET" } } } } }, { "Sid": "redact-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Deidentify": { "MaskConfig": {} } } } ] }
