기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
단일 로그 그룹에 대한 데이터 보호 정책 생성
CloudWatch Logs 콘솔 또는AWS CLI 명령을 사용하여 중요한 데이터를 마스킹 처리하는 데이터 보호 정책을 생성할 수 있습니다.
각 로그 그룹에 하나의 데이터 보호 정책을 할당할 수 있습니다. 각 데이터 보호 정책은 여러 유형의 정보를 감사할 수 있습니다. 각 데이터 보호 정책은 하나의 감사 진술을 포함할 수 있습니다.
콘솔
콘솔을 사용하여 데이터 보호 정책을 생성하려면
-
https://console.aws.amazon.com/cloudwatch/
에서 CloudWatch 콘솔을 엽니다. -
탐색 창에서 Logs, Log groups를 선택합니다.
로그 그룹의 이름을 선택합니다.
Actions(작업), Create data protection policy(데이터 보호 정책 생성)를 선택합니다.
관리형 데이터 식별자의 경우 이 로그 그룹에서 감사하고 마스킹 처리할 데이터 유형을 선택합니다. 선택 상자에 입력하여 원하는 식별자를 찾을 수 있습니다.
로그 데이터 및 비즈니스와 관련된 데이터 식별자만 선택하는 것이 좋습니다. 여러 유형의 데이터를 선택하면 오탐이 발생할 수 있습니다.
관리형 데이터 식별자를 사용하여 보호할 수 있는 데이터 유형에 대한 자세한 내용은 보호할 수 있는 데이터 유형 섹션을 참조하세요.
(선택 사항) 사용자 지정 데이터 식별자를 사용하여 다른 유형의 데이터를 감사하고 마스킹하려면 사용자 지정 데이터 식별자 추가를 선택합니다. 그런 다음 데이터 유형의 이름과 로그 이벤트에서 해당 데이터 유형을 검색하는 데 사용할 정규 표현식을 입력합니다. 자세한 내용은 사용자 지정 데이터 식별자 단원을 참조하십시오.
하나의 데이터 보호 정책에 최대 10개의 사용자 지정 데이터 식별자가 포함될 수 있습니다. 사용자 지정 데이터 식별자를 정의하는 각 정규 표현식은 200자 이하여야 합니다.
(선택 사항) 감사 결과를 전송할 서비스를 하나 이상 선택합니다. 이러한 서비스에 감사 결과를 보내지 않기로 선택하더라도 선택한 중요한 데이터 유형은 여전히 마스킹 처리됩니다.
Activate data protection(데이터 보호 활성화)을 선택합니다.
AWS CLI
AWS CLI를 사용하여 데이터 보호 정책을 생성하려면
텍스트 편집기를 사용하여
DataProtectionPolicy.json
정책 파일을 생성합니다. 정책 구문에 대한 자세한 내용은 다음 섹션을 참조하세요.다음 명령을 입력합니다.
aws logs put-data-protection-policy --log-group-identifier "
my-log-group
" --policy-document file:///Path/DataProtectionPolicy.json --regionus-west-2
AWS CLI 또는 API 작업을 위한 데이터 보호 정책 구문
AWS CLI 명령 또는 API 작업에 사용할 JSON 데이터 보호 정책을 만들 때는 정책에 두 개의 JSON 블록이 포함되어야 합니다.
첫 번째 블록은
DataIdentifer
배열과Audit
액션이 있는Operation
속성을 모두 포함해야 합니다.DataIdentifer
배열은 마스킹 처리하려는 중요한 데이터 유형을 나열합니다. 사용 가능한 옵션에 대한 자세한 내용은 보호할 수 있는 데이터 유형 섹션을 참조하세요.중요한 데이터 용어를 찾으려면
Audit
액션이 있는Operation
속성이 필요합니다. 이Audit
액션에는FindingsDestination
객체가 포함되어야 합니다. 선택적으로 이FindingsDestination
객체를 사용하여 감사 결과 보고서를 보낼 하나 이상의 대상을 나열할 수 있습니다. 로그 그룹, Amazon Data Firehose 스트림, S3 버킷 같은 대상을 지정하는 경우, 해당 대상이 이미 존재해야 합니다. 감사 결과 보고서의 예는 감사 결과 보고서를 참조하세요.두 번째 블록은
DataIdentifer
배열과Deidentify
액션이 있는Operation
속성을 모두 포함해야 합니다.DataIdentifer
배열은 정책의 첫 번째 블록에 있는DataIdentifer
배열과 정확히 일치해야 합니다.Deidentify
액션이 있는Operation
속성은 실제로 데이터를 마스킹 처리하며 해당 속성은"MaskConfig": {}
객체를 포함해야 합니다."MaskConfig": {}
객체는 비어 있어야 합니다.
다음은 이메일 주소와 미국 운전면허증을 마스킹 처리하는 데이터 보호 정책의 예입니다.
{ "Name": "data-protection-policy", "Description": "test description", "Version": "2021-06-01", "Statement": [{ "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Audit": { "FindingsDestination": { "CloudWatchLogs": { "LogGroup": "
EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT
," }, "Firehose": { "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT
" }, "S3": { "Bucket": "EXISTING_BUCKET
" } } } } }, { "Sid": "redact-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Deidentify": { "MaskConfig": {} } } } ] }