本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
安全 OU — 日志存档账户
我们很乐意听取你的意见。请通过简短的调查 |
在日志存档帐户中,您可以集中管理基础架构、服务和应用程序日志类型。有关此账户的更多信息,请参阅AWS 安全参考架构 (AWS SRA)。使用日志专用帐户,您可以对所有日志类型应用一致的警报,并确认事件响应者可以从一个地方访问这些日志的汇总。您也可以从一个地方设置安全控制和数据保留策略,这可以简化隐私操作开销。下图说明了在日志存档帐户中配置 AWS 的安全和隐私服务。
集中式日志存储
日志文件(例如 AWS CloudTrail 日志)可能包含可视为个人数据的信息。一些组织选择使用组织跟踪将跨账户 AWS 区域 和跨账户的 CloudTrail 日志汇总到一个中心位置,以实现可见性。有关更多信息,请参阅本指南中的AWS CloudTrail。在实施日志集中化时, CloudTrail 日志通常存储在单个区域的亚马逊简单存储服务 (Amazon S3) 存储桶中。
根据贵组织对个人数据的定义和适用的地区隐私法规,您可能需要考虑跨境数据传输。如果您的组织需要满足地区隐私法规对数据传输的要求,则以下选项可以提供支持:
-
如果您的组织 AWS Cloud 向多个国家/地区的数据主体提供服务,则可以选择汇总数据驻留要求最严格的国家/地区的所有日志。例如,如果您在德国运营并且德国有最严格的要求,则可以将数据聚合到的 S3 存储桶
eu-central-1AWS 区域 中,这样在德国收集的数据就不会离开德国边境。对于此选项,您可以在中配置单个组织跟踪 CloudTrail ,将来自所有账户的日志聚合 AWS 区域 到目标区域。 -
在将数据复制并汇总到其他区域 AWS 区域 之前,请先编辑需要保留的个人数据。例如,在将日志传输到其他区域之前,您可以屏蔽应用程序宿主区域中的个人数据。有关屏蔽个人数据的更多信息,请参阅本指南的Amazon Data Firehose部分。
与您的法律顾问合作,确定哪些个人数据在范围内,以及允许 AWS Region-to-Region 传输哪些个人数据。
