기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
마스킹 처리를 통해 민감한 로그 데이터를 보호하도록 지원
로그 그룹 데이터 보호 정책을 사용하면 CloudWatch 로그에 수집된 민감한 데이터를 보호할 수 있습니다. 이러한 정책을 사용하면 계정의 로그 그룹에서 모은 로그 이벤트에 나타나는 민감한 데이터를 감사하고 마스킹할 수 있습니다.
데이터 보호 정책을 만들면 기본적으로 선택한 데이터 식별자와 일치하는 민감한 데이터가 CloudWatch Logs Insights, 지표 필터, 구독 필터를 비롯한 모든 송신 지점에서 마스킹됩니다. logs:Unmask IAM 권한이 있는 사용자만 마스킹되지 않은 데이터를 볼 수 있습니다.
계정의 모든 로그 그룹에 대한 데이터 보호 정책을 생성할 수 있으며 개별 로그 그룹에 대한 데이터 보호 정책을 생성할 수도 있습니다. 전체 계정에 대한 정책을 생성하면 기존 로그 그룹과 향후 생성되는 로그 그룹 모두에 적용됩니다.
전체 계정에 대한 데이터 보호 정책을 생성하고 단일 로그 그룹에 대한 정책도 생성하는 경우 두 정책 모두 해당 로그 그룹에 적용됩니다. 두 정책 중 하나에 지정된 모든 관리형 데이터 식별자는 해당 로그 그룹에서 감사되고 마스킹됩니다.
참고
민감한 데이터 마스킹은 Standard 로그 클래스의 로그 그룹에만 지원됩니다. 계정의 모든 로그 그룹에 대해 데이터 보호 정책을 만들면 표준 로그 클래스의 로그 그룹에만 적용됩니다. 로그 클래스에 대한 자세한 내용은 을 참조하십시오로그 클래스.
각 로그 그룹에는 로그 그룹 수준의 데이터 보호 정책이 하나만 있을 수 있지만 해당 정책은 감사하고 마스킹할 여러 관리형 데이터 식별자를 지정할 수 있습니다. 데이터 보호 정책의 한도는 30,720자입니다.
중요
중요한 데이터는 로그 그룹에 수집될 때 감지되고 마스킹 처리됩니다. 데이터 보호 정책을 설정하면 해당 시간 이전에 로그 그룹에 수집된 로그 이벤트는 마스킹 처리되지 않습니다.
CloudWatch 로그는 재무 데이터, 개인 건강 정보 (PHI) 및 개인 식별 정보 (PII) 를 보호하기 위해 선택할 수 있는 사전 구성된 데이터 유형을 제공하는 다양한 관리형 데이터 식별자를 지원합니다. CloudWatch 로그 데이터 보호를 통해 패턴 매칭 및 기계 학습 모델을 활용하여 민감한 데이터를 탐지할 수 있습니다. 일부 유형의 관리형 데이터 식별자의 경우 민감한 데이터와 가까운 특정 키워드를 찾아야만 탐지 효과가 달라집니다. 또한 사용자 지정 데이터 식별자를 사용하여 특정 사용 사례에 맞는 데이터 식별자를 만들 수 있습니다.
선택한 데이터 식별자와 일치하는 민감한 데이터가 감지되면 측정항목이 생성됩니다. CloudWatch 이는 LogEventsWithFindings지표이며 AWS/Logs 네임스페이스에서 내보냅니다. 이 메트릭을 사용하여 CloudWatch 경보를 생성하고 그래프와 대시보드로 시각화할 수 있습니다. 데이터 보호에서 내보낸 지표는 판매된 지표이며 무료입니다. CloudWatch 로그가 전송하는 지표에 대한 자세한 내용은 을 CloudWatch 참조하십시오. CloudWatch 메트릭을 사용한 모니터링
각 관리형 데이터 식별자는 특정 국가 또는 지역의 신용 카드 번호, AWS 비밀 액세스 키 또는 여권 번호와 같은 특정 유형의 민감한 데이터를 탐지하도록 설계되었습니다. 데이터 보호 정책을 생성할 때 이러한 식별자를 사용하여 로그 그룹에서 수집한 로그를 분석하고, 감지되면 조치를 취하도록 구성할 수 있습니다.
CloudWatch 로그 데이터 보호는 관리형 데이터 식별자를 사용하여 다음 범주의 민감한 데이터를 탐지할 수 있습니다.
자격 증명 (예: 개인 키 또는 AWS 비밀 액세스 키)
금융 정보(예: 신용 카드 번호)
개인 식별 정보(PII)(예: 운전면허증 또는 사회 보장 번호)
보호 대상 건강 정보(PHI)(예: 건강 보험 또는 의료 식별 번호)
디바이스 식별자(예: IP 주소 또는 MAC 주소)
보호할 수 있는 데이터 유형에 대한 자세한 내용은 보호할 수 있는 데이터 유형 섹션을 참조하세요.
목차
