翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
監査結果レポート
CloudWatch Logs、Amazon S3、または Firehose に監査レポートを書き込むように CloudWatch Logs のデータ保護監査ポリシーを設定した場合、これらの検出結果レポートは以下の例と類似します。CloudWatch Logs は、機密データが含まれるログイベントごとに 1 つの結果レポートを書き込みます。
{ "auditTimestamp": "2023-01-23T21:11:20Z", "resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*", "dataIdentifiers": [ { "name": "EmailAddress", "count": 2, "detections": [ { "start": 13, "end": 26 }, { "start": 30, "end": 43 } ] } ] }
レポート内のフィールドは、以下のとおりです。
resourceArn
フィールドには、機密データが見つかったロググループが表示されます。dataIdentifiers
オブジェクトには、監査している機密データのタイプの 1 つに関する結果が表示されます。name
フィールドには、このセクションで報告されている機密データのタイプが特定されています。count
フィールドには、ログイベントでこのタイプの機密データが出現する回数が表示されます。start
およびend
フィールドには、機密データがログイベントのどこで出現しているかが、出現ごとに文字数で表示されます。
上記の例は、1 つのログイベントで 2 件の E メールアドレスが見つかったレポートです。最初の E メールアドレスは、ログイベントの 13 文字目から始まり、26 文字目で終わります。2 番目のメールアドレスは 30 文字目から 43 文字目までとなっています。このログイベントには 2 件の E メールアドレスがありますが、LogEventsWithFindings
メトリクスの値は 1 つしかインクリメントされていません。これは、メトリクスが数えているのが機密データの出現回数ではなく、機密データが含まれるログイベントの数だからです。
AWS KMS によって保護されているバケットに監査結果を送信するために必要なキーポリシー
Amazon S3 バケット内のデータを保護するには、Amazon S3 マネージドキーを使用したサーバー側の暗号化 (SSE-S3)、または KMS キーを使用したサーバー側の暗号化 (SSE-KMS) のいずれかを有効にします。詳細については、Amazon S3 ユーザーガイドの「サーバー側の暗号化を使用したデータの保護」を参照してください。
SSE-S3 で保護されているバケットに監査結果を送信した場合、追加の設定は必要ありません。Amazon S3 が暗号化キーを処理します。
SSE-KMS で保護されているバケットに監査結果を送信すると、ログ配信アカウントが S3 バケットに書き込めるように、KMS キーのキーポリシーを更新する必要があります。SSE-KMS での使用に必要なキーポリシーについては、「Amazon CloudWatch Logs ユーザーガイド」の「Amazon S3」を参照してください。