Creazione di una policy di protezione dei dati per un singolo gruppo di log - CloudWatch Registri Amazon
ConsoleAWS CLI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di una policy di protezione dei dati per un singolo gruppo di log

È possibile utilizzare la console o i AWS CLI comandi CloudWatch Logs per creare una policy di protezione dei dati per mascherare i dati sensibili.

È possibile assegnare una policy di protezione dei dati a ciascun gruppo di log. Ogni policy di protezione dei dati può verificare diversi tipi di informazioni. Ogni policy di protezione dei dati può includere un'istruzione di verifica.

Console

Utilizzo della console per creare una policy di protezione dei dati

  1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione a sinistra, scegli Log, Gruppi di log.

  3. Scegli il nome del gruppo di log.

  4. Scegli Actions (Operazioni), quindi scegli Create data protection policy (Crea policy di protezione dei dati).

  5. Per gli identificatori di dati gestiti, seleziona i tipi di dati che desideri controllare e mascherare in questo gruppo di log. Per individuare gli identificatori che ti interessano, digita il testo nella casella di selezione.

    Ti consigliamo di selezionare solo gli identificatori di dati pertinenti per i tuoi dati di log e la tua attività. La scelta di numerosi tipi di dati può portare a falsi positivi.

    Per informazioni dettagliate sui tipi di dati che è possibile proteggere utilizzando identificatori di dati gestiti, consulta. Tipi di dati che è possibile proteggere

  6. (Facoltativo) Se desideri controllare e mascherare altri tipi di dati utilizzando identificatori di dati personalizzati, scegli Aggiungi identificatore di dati personalizzato. Quindi inserisci un nome per il tipo di dati e l'espressione regolare da utilizzare per cercare quel tipo di dati nel registro degli eventi. Per ulteriori informazioni, consulta Identificatori di dati personalizzati.

    Una singola politica di protezione dei dati può includere fino a 10 identificatori di dati personalizzati. Ogni espressione regolare che definisce un identificatore di dati personalizzato deve contenere al massimo 200 caratteri.

  7. (Facoltativo) Scegli uno o più servizi a cui inviare i risultati della verifica. Anche se scegli di non inviare i risultati della verifica ad alcun servizio, i tipi di dati sensibili selezionati verranno comunque mascherati.

  8. Scegli Activate data protection (Attiva la protezione dei dati).

AWS CLI

Da utilizzare per AWS CLI creare una politica di protezione dei dati

  1. Utilizza un editor di testo per creare un file di policy denominato DataProtectionPolicy.json. Per informazioni sulla sintassi delle policy, consulta la sezione seguente.

  2. Immetti il comando seguente:

    aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2

Sintassi della politica di protezione dei dati per le AWS CLI nostre operazioni API

Quando crei una policy di protezione dei dati JSON da utilizzare in un AWS CLI comando o in un'operazione API, la policy deve includere due blocchi JSON:

  • Il primo blocco deve includere sia una matrice DataIdentifer sia una proprietà Operation con un'operazione Audit. La matrice DataIdentifer elenca i tipi di dati sensibili che desideri mascherare. Per ulteriori informazioni sulle opzioni disponibili, consulta Tipi di dati che è possibile proteggere.

    La proprietà Operation con l'operazione Audit è necessaria per individuare i termini relativi ai dati sensibili. L'operazione Audit deve contenere un oggetto FindingsDestination. È possibile utilizzare tale oggetto FindingsDestination per elencare una o più destinazioni a cui inviare il report sui risultati della verifica. Se specifichi destinazioni come gruppi di log, flussi Amazon Data Firehose e bucket S3, devono già esistere. Per un esempio di report sui risultati della verifica, consulta Report sui risultati della verifica.

  • Il secondo blocco deve includere sia una matrice DataIdentifer sia una proprietà Operation con un'operazione Deidentify. La matrice DataIdentifer deve corrispondere esattamente alla matrice DataIdentifer nel primo blocco della policy.

    La proprietà Operation con l'operazione Deidentify è ciò che maschera effettivamente i dati e deve contenere l'oggetto "MaskConfig": {}. L'oggetto "MaskConfig": {} deve essere vuoto.

Quello che segue è un esempio di policy di protezione dei dati che maschera gli indirizzi e-mail e le patenti di guida degli Stati Uniti.

{
    "Name": "data-protection-policy",
    "Description": "test description",
    "Version": "2021-06-01",
    "Statement": [{
            "Sid": "audit-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Audit": {
                    "FindingsDestination": {
                        "CloudWatchLogs": {
                            "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
                        },
                        "Firehose": {
                            "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
                        },
                        "S3": {
                            "Bucket": "EXISTING_BUCKET"
                        }
                    }
                }
            }
        },
        {
            "Sid": "redact-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Deidentify": {
                    "MaskConfig": {}
                }
            }
        }
    ]
}