Keamanan OU - Akun Arsip Log - AWS Bimbingan Preskriptif
Penyimpanan log terpusat

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan OU - Akun Arsip Log

Kami akan senang mendengar dari Anda. Harap berikan umpan balik tentang AWS PRA dengan mengikuti survei singkat.

Akun Log Archive adalah tempat Anda memusatkan infrastruktur, layanan, dan jenis log aplikasi. Untuk informasi selengkapnya tentang akun ini, lihat Arsitektur Referensi AWS Keamanan (AWS SRA). Dengan akun khusus untuk log, Anda dapat menerapkan peringatan yang konsisten di semua jenis log dan untuk mengonfirmasi bahwa responden insiden dapat mengakses agregat log ini dari satu tempat. Anda dapat mengatur kontrol keamanan dan kebijakan penyimpanan data dari satu tempat juga, yang dapat menyederhanakan overhead operasional privasi. Diagram berikut menggambarkan layanan AWS keamanan dan privasi yang dikonfigurasi di akun Arsip Log.

Layanan AWS disebarkan di akun Arsip Log di unit organisasi Keamanan.

Penyimpanan log terpusat

File log (seperti AWS CloudTrail log) mungkin berisi informasi yang dapat dianggap sebagai data pribadi. Beberapa organisasi memilih untuk menggunakan jejak organisasi untuk mengumpulkan CloudTrail log di seluruh Wilayah AWS dan di seluruh akun ke dalam satu lokasi pusat, untuk tujuan visibilitas. Untuk informasi selengkapnya, lihat AWS CloudTrail dalam panduan ini. Saat menerapkan sentralisasi CloudTrail log, log biasanya disimpan dalam bucket Amazon Simple Storage Service (Amazon S3) di satu Wilayah.

Bergantung pada definisi data pribadi organisasi Anda dan peraturan privasi regional yang berlaku, Anda mungkin perlu mempertimbangkan transfer data lintas batas. Jika organisasi Anda perlu memenuhi persyaratan transfer data untuk peraturan privasi regional, opsi berikut dapat membantu mendukung:

  1. Jika organisasi Anda menyediakan layanan AWS Cloud untuk subjek data di beberapa negara, Anda dapat memilih untuk menggabungkan semua log di negara yang memiliki persyaratan residensi data paling ketat. Misalnya, jika Anda beroperasi di Jerman dan memiliki persyaratan paling ketat, Anda dapat menggabungkan data dalam bucket S3 agar data yang dikumpulkan eu-central-1 Wilayah AWS di Jerman tidak meninggalkan perbatasan Jerman. Untuk opsi ini, Anda dapat mengonfigurasi jejak organisasi tunggal di log agregat CloudTrail tersebut dari seluruh akun dan Wilayah AWS ke Wilayah target.

  2. Menyunting data pribadi yang perlu disimpan Wilayah AWS sebelum data disalin dan dikumpulkan ke wilayah lain. Misalnya, Anda dapat menutupi data pribadi di Wilayah host aplikasi sebelum Anda mentransfer log ke Wilayah yang berbeda. Untuk informasi selengkapnya tentang menutupi data pribadi, lihat Amazon Data Firehose bagian panduan ini.

Bekerjalah dengan penasihat hukum Anda untuk menentukan data pribadi mana yang ada dalam cakupan dan AWS Region-to-Region transfer apa yang diizinkan.