Membantu melindungi data log sensitif dengan masking

Anda dapat membantu melindungi data sensitif yang dicerna oleh CloudWatch Log dengan menggunakan kebijakan perlindungan data grup log. Kebijakan ini memungkinkan Anda mengaudit dan menutupi data sensitif yang muncul di peristiwa log yang dicerna oleh grup log di akun Anda.

Saat Anda membuat kebijakan perlindungan data, maka secara default, data sensitif yang cocok dengan pengidentifikasi data yang Anda pilih akan disembunyikan di semua titik keluar, termasuk Wawasan CloudWatch Log, filter metrik, dan filter langganan. Hanya pengguna yang memiliki logs:Unmask IAM izin yang dapat melihat data yang dibuka kedoknya.

Anda dapat membuat kebijakan perlindungan data untuk semua grup log di akun Anda, dan Anda juga dapat membuat kebijakan perlindungan data untuk grup log individual. Saat Anda membuat kebijakan untuk seluruh akun, kebijakan tersebut berlaku untuk grup log dan grup log yang sudah ada yang dibuat di masa mendatang.

Jika Anda membuat kebijakan perlindungan data untuk seluruh akun Anda dan Anda juga membuat kebijakan untuk satu grup log, kedua kebijakan tersebut berlaku untuk grup log tersebut. Semua pengidentifikasi data terkelola yang ditentukan dalam salah satu kebijakan diaudit dan disamarkan dalam grup log tersebut.

catatan

Menyembunyikan data sensitif hanya didukung untuk grup log di kelas log Standar. Jika Anda membuat kebijakan perlindungan data untuk semua grup log di akun Anda, kebijakan tersebut hanya berlaku untuk grup log di kelas log Standar. Untuk informasi selengkapnya tentang kelas log, lihatKelas log.

Setiap grup log hanya dapat memiliki satu kebijakan perlindungan data tingkat grup log, tetapi kebijakan tersebut dapat menentukan banyak pengidentifikasi data terkelola untuk diaudit dan disembunyikan. Batas kebijakan perlindungan data adalah 30.720 karakter.

penting

Data sensitif terdeteksi dan disamarkan saat tertelan ke dalam grup log. Saat Anda menetapkan kebijakan perlindungan data, peristiwa log yang dicerna ke grup log sebelum waktu tersebut tidak disamarkan.

CloudWatch Log mendukung banyak pengidentifikasi data terkelola, yang menawarkan tipe data yang telah dikonfigurasi sebelumnya yang dapat Anda pilih untuk melindungi data keuangan, informasi kesehatan pribadi (PHI), dan informasi identitas pribadi (). PII CloudWatch Perlindungan data log memungkinkan Anda memanfaatkan pencocokan pola dan model pembelajaran mesin untuk mendeteksi data sensitif. Untuk beberapa jenis pengidentifikasi data terkelola, deteksi tergantung pada juga menemukan kata kunci tertentu yang berdekatan dengan data sensitif. Anda juga dapat menggunakan pengidentifikasi data khusus untuk membuat pengidentifikasi data yang disesuaikan dengan kasus penggunaan spesifik Anda.

Metrik dipancarkan CloudWatch saat data sensitif terdeteksi yang cocok dengan pengidentifikasi data yang Anda pilih. Ini adalah LogEventsWithFindingsmetrik dan dipancarkan di namespace AWS/Logs. Anda dapat menggunakan metrik ini untuk membuat CloudWatch alarm, dan Anda dapat memvisualisasikannya dalam grafik dan dasbor. Metrik yang dipancarkan oleh perlindungan data adalah metrik yang dijual dan tidak dikenai biaya. Untuk informasi selengkapnya tentang metrik yang dikirimkan oleh CloudWatch Log CloudWatch, lihatPemantauan dengan CloudWatch metrik.

Setiap pengidentifikasi data terkelola dirancang untuk mendeteksi jenis data sensitif tertentu, seperti nomor kartu kredit, kunci akses AWS rahasia, atau nomor paspor untuk negara atau wilayah tertentu. Saat membuat kebijakan perlindungan data, Anda dapat mengonfigurasinya untuk menggunakan pengidentifikasi ini untuk menganalisis log yang dicerna oleh grup log, dan mengambil tindakan saat terdeteksi.

CloudWatch Perlindungan data log dapat mendeteksi kategori data sensitif berikut dengan menggunakan pengidentifikasi data terkelola:

• Kredensil, seperti kunci pribadi atau kunci akses AWS rahasia

• Informasi keuangan, seperti nomor kartu kredit

• Informasi Identifikasi Pribadi (PII) seperti SIM atau nomor jaminan sosial

• Informasi Kesehatan yang Dilindungi (PHI) seperti asuransi kesehatan atau nomor identifikasi medis

• Pengidentifikasi perangkat, seperti alamat IP atau MAC alamat

Untuk detail tentang jenis data yang dapat Anda lindungi, lihatJenis data yang dapat Anda lindungi.

Daftar Isi

• Memahami kebijakan perlindungan data
  • Apa itu kebijakan perlindungan data?
  • Bagaimana kebijakan perlindungan data terstruktur?
    • JSONproperti untuk kebijakan perlindungan data
    • JSONproperti untuk pernyataan kebijakan
    • JSONproperti untuk operasi pernyataan kebijakan
• IAMizin yang diperlukan untuk membuat atau bekerja dengan kebijakan perlindungan data
  • Izin yang diperlukan untuk kebijakan perlindungan data tingkat akun
  • Izin yang diperlukan untuk kebijakan perlindungan data untuk satu grup log
  • Contoh kebijakan perlindungan data
• Buat kebijakan perlindungan data di seluruh akun
  • Konsol
  • AWS CLI
    • Sintaks kebijakan perlindungan data untuk AWS CLI atau operasi API
• Membuat kebijakan perlindungan data untuk satu grup log
  • Konsol
  • AWS CLI
    • Sintaks kebijakan perlindungan data untuk AWS CLI atau operasi API
• Lihat data yang dibuka kedoknya
• Laporan temuan audit
  • Kebijakan kunci yang diperlukan untuk mengirim temuan audit ke ember yang dilindungi oleh AWS KMS
• Jenis data yang dapat Anda lindungi
  • CloudWatch Pengidentifikasi data terkelola log untuk tipe data sensitif
    • Kredensial
      • Pengidentifikasi data ARNs untuk tipe data kredensyal
    • Pengidentifikasi perangkat
      • Pengidentifikasi data ARNs untuk tipe data perangkat
    • Informasi keuangan
      • Pengidentifikasi data ARNs untuk tipe data keuangan
    • Informasi kesehatan yang dilindungi (PHI)
      • Pengidentifikasi data ARNs untuk tipe data informasi kesehatan yang dilindungi () PHI
    • Informasi yang dapat diidentifikasi secara pribadi () PII
      • Kata kunci untuk nomor identifikasi surat izin mengemudi
      • Kata kunci untuk nomor induk kependudukan
      • Kata kunci untuk nomor paspor
      • Kata kunci untuk nomor pokok wajib pajak
      • Pengidentifikasi data ARNs untuk informasi yang dapat diidentifikasi secara pribadi () PII
  • Pengidentifikasi data khusus
    • Apa itu pengidentifikasi data khusus?
    • Kendala pengenal data kustom
    • Menggunakan pengidentifikasi data khusus di konsol
    • Menggunakan pengidentifikasi data khusus dalam kebijakan perlindungan data Anda