Membuat kebijakan perlindungan data untuk satu grup log - CloudWatch Log Amazon
KonsolAWS CLI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat kebijakan perlindungan data untuk satu grup log

Anda dapat menggunakan konsol CloudWatch Log atau AWS CLI perintah untuk membuat kebijakan perlindungan data untuk menutupi data sensitif.

Anda dapat menetapkan satu kebijakan perlindungan data untuk setiap grup log. Setiap kebijakan perlindungan data dapat mengaudit berbagai jenis informasi. Setiap kebijakan perlindungan data dapat mencakup satu pernyataan audit.

Konsol

Untuk menggunakan konsol untuk membuat kebijakan perlindungan data

  1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Di panel navigasi, pilih Log, Grup log.

  3. Pilih nama grup log.

  4. Pilih Tindakan, Buat kebijakan perlindungan data.

  5. Untuk pengidentifikasi Data, pilih jenis data yang ingin Anda audit dan tutupi di grup log ini. Anda dapat mengetikkan kotak pilihan untuk menemukan pengidentifikasi yang Anda inginkan.

    Kami menyarankan Anda hanya memilih pengenal data yang relevan untuk data log dan bisnis Anda. Memilih banyak jenis data dapat menyebabkan positif palsu.

    Untuk detail tentang jenis data yang dapat Anda lindungi, lihatJenis data yang dapat Anda lindungi.

  6. (Opsional) Pilih satu atau beberapa layanan untuk mengirimkan temuan audit ke. Bahkan jika Anda memilih untuk tidak mengirim temuan audit ke salah satu layanan ini, tipe data sensitif yang Anda pilih akan tetap tertutup.

  7. Pilih Aktifkan perlindungan data.

AWS CLI

Untuk menggunakan AWS CLI untuk membuat kebijakan perlindungan data

  1. Gunakan editor teks untuk membuat file kebijakan bernamaDataProtectionPolicy.json. Untuk informasi tentang sintaks kebijakan, lihat bagian berikut.

  2. Masukkan perintah berikut:

    aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2

Sintaks kebijakan perlindungan data untuk AWS CLI atau operasi API

Saat Anda membuat kebijakan perlindungan data JSON untuk digunakan dalam operasi AWS CLI perintah atau API, kebijakan tersebut harus menyertakan dua blok JSON:

  • Blok pertama harus menyertakan DataIdentifer array dan Operation properti dengan Audit tindakan. DataIdentiferArray mencantumkan jenis data sensitif yang ingin Anda tutupi. Untuk informasi lebih lanjut tentang opsi yang tersedia, lihat Jenis data yang dapat Anda lindungi.

    OperationProperti dengan Audit tindakan diperlukan untuk menemukan istilah data sensitif. AuditTindakan ini harus berisi FindingsDestination objek. Anda dapat menggunakan FindingsDestination objek tersebut secara opsional untuk mencantumkan satu atau beberapa tujuan untuk mengirim laporan temuan audit. Jika Anda menentukan tujuan seperti grup log, aliran Amazon Kinesis Data Firehose, dan bucket S3, mereka harus sudah ada. Untuk contoh laporan audit findins, lihat. Laporan temuan audit

  • Blok kedua harus menyertakan DataIdentifer array dan Operation properti dengan Deidentify tindakan. DataIdentiferArray harus sama persis dengan DataIdentifer array di blok pertama kebijakan.

    OperationProperti dengan Deidentify tindakan adalah apa yang sebenarnya menutupi data, dan itu harus berisi "MaskConfig": {} objek. "MaskConfig": {}Objek harus kosong.

Berikut ini adalah contoh kebijakan perlindungan data yang menutupi alamat email dan SIM Amerika Serikat.

{
    "Name": "data-protection-policy",
    "Description": "test description",
    "Version": "2021-06-01",
    "Statement": [{
            "Sid": "audit-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Audit": {
                    "FindingsDestination": {
                        "CloudWatchLogs": {
                            "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
                        },
                        "Firehose": {
                            "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
                        },
                        "S3": {
                            "Bucket": "EXISTING_BUCKET"
                        }
                    }
                }
            }
        },
        {
            "Sid": "redact-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Deidentify": {
                    "MaskConfig": {}
                }
            }
        }
    ]
}