了解資料保護政策

什麼是資料保護政策？

CloudWatch 記錄檔會使用資料保護政策來選取您要掃描的敏感資料，以及您要採取的動作來保護該資料。若要選取感興趣的敏感資料，請使用資料識別碼。 CloudWatch 記錄資料安全防護，然後使用機器學習和病毒碼比對來偵測機密資料。若要根據找到的資料識別符採取行動，您可以定義稽核和去識別化操作。這些操作可讓您記錄找到 (或未找到) 的敏感資料，並在檢視日誌事件時遮罩敏感資料。

資料保護政策的結構如何？

如下圖所示，資料保護政策文件包含以下元素：

• 在文件最上方選用的整體政策資訊

• 定義稽核和去識別動作的一條陳述式

每個 CloudWatch 記錄檔記錄群組只能定義一個資料保護原則。資料保護政策可以有一或多個拒絕或去識別化陳述式，但只能有一個稽核陳述式。

資料保護政策的 JSON 屬性

資料保護政策需要下列基本政策資訊才能識別：

• Name - 政策名稱。

• Description (選用) - 政策描述。

• Version - 政策語言版本。目前版本是 2021-06-01。

• Statement - 指定資料保護政策動作的陳述式清單。

{
  "Name": "CloudWatchLogs-PersonalInformation-Protection",
  "Description": "Protect basic types of sensitive data",
  "Version": "2021-06-01",
  "Statement": [
        ...
  ]
}

政策陳述式的 JSON 屬性

政策陳述式會設定資料保護操作的偵測內容。

• Sid (選用) - 陳述式識別符。

• DataIdentifier— CloudWatch 防護記錄應掃描的敏感資料。例如，姓名、地址或電話號碼。

• 「操作」— 后續操作（「稽核」或「取消標識」）。 CloudWatch 記錄檔會在找到敏感資料時執行這些動作。

{
  ...
  "Statement": [
    {
      "Sid": "audit-policy",
      "DataIdentifier": [
        "arn:aws:dataprotection::aws:data-identifier/Address"
      ],
      "Operation": {
        "Audit": {
          "FindingsDestination": {}
        }
      }
    },

政策陳述式操作的 JSON 屬性

政策陳述式會設定下列其中一項資料保護操作。

• 稽核 – 發出指標和問題清單報告，而不會中斷日誌記錄。符合的字串會增加 CloudWatch 日誌發佈至 AWS/Logs 命名空間的量LogEventsWithFindings度。 CloudWatch您可以使用這些指標建立警示。

  如需問題清單報告的範例，請參閱 稽核問題清單報告。

  如需有關 CloudWatch 記錄檔傳送至的指標的詳細資訊 CloudWatch，請參閱使用 CloudWatch 指標監控。

• 去識別 – 遮罩敏感資料，而不會中斷日誌記錄。