Membuat kebijakan perlindungan data untuk grup log - CloudWatch Log Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat kebijakan perlindungan data untuk grup log

Anda dapat menggunakan konsol CloudWatch Log atauAWS CLI perintah untuk membuat kebijakan perlindungan data untuk menutupi data sensitif.

Anda dapat menetapkan satu kebijakan perlindungan data untuk setiap grup log. Setiap kebijakan perlindungan data dapat mengaudit berbagai jenis informasi. Setiap kebijakan perlindungan data dapat mencakup satu pernyataan audit.

Konsol

Menggunakan konsol untuk membuat kebijakan perlindungan data
  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Di panel navigasi, pilih Log, Log grup.

  3. Pilih nama grup log.

  4. Pilih Tindakan, Buat kebijakan perlindungan data.

  5. Untuk Pengidentifikasi data, pilih jenis data yang ingin Anda audit dan tutupi dalam grup log ini. Anda dapat mengetikkan kotak pilihan untuk menemukan pengidentifikasi yang Anda inginkan.

    Kami menyarankan Anda memilih hanya pengidentifikasi data yang relevan untuk data log dan bisnis Anda. Memilih banyak jenis data dapat menyebabkan positif palsu.

    Untuk detail tentang jenis data yang dapat Anda lindungi, lihatJenis data yang dapat Anda lindungi.

  6. (Opsional) Pilih satu atau beberapa layanan untuk mengirim temuan audit. Meskipun Anda memilih untuk tidak mengirim temuan audit ke salah satu layanan ini, jenis data sensitif yang Anda pilih akan tetap tertutup.

  7. Pilih Aktifkan perlindungan data.

AWS CLI

Untuk menggunakanAWS CLI untuk membuat kebijakan perlindungan data
  1. Gunakan editor teks untuk membuat file kebijakan bernamaDataProtectionPolicy.json. Untuk informasi tentang sintaks kebijakan, lihat bagian berikut.

  2. Masukkan perintah berikut:

    aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2

Sintaks kebijakan perlindungan data

Saat Anda membuat kebijakan perlindungan data JSON untuk digunakan dalamAWS CLI perintah atau operasi API, kebijakan harus menyertakan dua blok JSON:

  • Blok pertama harus mencakupDataIdentifer array danOperation properti denganAudit tindakan. DataIdentiferArray mencantumkan jenis data sensitif yang ingin Anda topeng. Untuk informasi lebih lanjut tentang opsi yang tersedia, lihat Jenis data yang dapat Anda lindungi.

    OperationProperti denganAudit tindakan diperlukan untuk menemukan istilah data sensitif. AuditTindakan ini harus berisiFindingsDestination objek. Anda dapat menggunakanFindingsDestination objek tersebut secara opsional untuk mencantumkan satu atau beberapa tujuan untuk mengirim temuan audit. Jika Anda menentukan tujuan seperti grup log, aliran Amazon Kinesis Data Firehose, dan bucket S3, mereka harus sudah ada.

  • Blok kedua harus mencakupDataIdentifer array danOperation properti denganDeidentify tindakan. DataIdentiferArray harus sama persis denganDataIdentifer array di blok pertama kebijakan.

    OperationProperti denganDeidentify tindakan adalah apa yang benar-benar topeng data, dan itu harus berisi "MaskConfig": {} objek. "MaskConfig": {}Objek harus kosong.

Berikut ini adalah contoh kebijakan perlindungan data yang menutupi alamat email dan SIM Amerika Serikat.

{ "Name": "data-protection-policy", "Description": "test description", "Version": "2021-06-01", "Statement": [{ "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Audit": { "FindingsDestination": { "CloudWatchLogs": { "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT," }, "Firehose": { "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT" }, "S3": { "Bucket": "EXISTING_BUCKET" } } } } }, { "Sid": "redact-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Deidentify": { "MaskConfig": {} } } } ] }