本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解資料保護政策
什麼是資料保護政策?
CloudWatch 記錄檔會使用資料保護政策來選取您要掃描的敏感資料,以及您要採取的動作來保護該資料。若要選取感興趣的敏感資料,請使用資料識別碼。 CloudWatch 記錄資料安全防護,然後使用機器學習和病毒碼比對來偵測機密資料。若要根據找到的資料識別符採取行動,您可以定義稽核和去識別化操作。這些操作可讓您記錄找到 (或未找到) 的敏感資料,並在檢視日誌事件時遮罩敏感資料。
資料保護政策的結構如何?
如下圖所示,資料保護政策文件包含以下元素:
-
在文件最上方選用的整體政策資訊
-
定義稽核和去識別動作的一條陳述式
每個 CloudWatch 記錄檔記錄群組只能定義一個資料保護原則。資料保護政策可以有一或多個拒絕或去識別化陳述式,但只能有一個稽核陳述式。
資料保護政策的 JSON 屬性
資料保護政策需要下列基本政策資訊才能識別:
-
Name - 政策名稱。
-
Description (選用) - 政策描述。
-
Version - 政策語言版本。目前版本是 2021-06-01。
-
Statement - 指定資料保護政策動作的陳述式清單。
{ "Name": "CloudWatchLogs-PersonalInformation-Protection", "Description": "Protect basic types of sensitive data", "Version": "2021-06-01", "Statement": [ ... ] }
政策陳述式的 JSON 屬性
政策陳述式會設定資料保護操作的偵測內容。
-
Sid (選用) - 陳述式識別符。
-
DataIdentifier— CloudWatch 防護記錄應掃描的敏感資料。例如,姓名、地址或電話號碼。
-
「操作」— 后續操作(「稽核」或「取消標識」)。 CloudWatch 記錄檔會在找到敏感資料時執行這些動作。
{ ... "Statement": [ { "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/Address" ], "Operation": { "Audit": { "FindingsDestination": {} } } },
政策陳述式操作的 JSON 屬性
政策陳述式會設定下列其中一項資料保護操作。
-
稽核 – 發出指標和問題清單報告,而不會中斷日誌記錄。符合的字串會增加 CloudWatch 日誌發佈至 AWS/Logs 命名空間的量LogEventsWithFindings度。 CloudWatch您可以使用這些指標建立警示。
如需問題清單報告的範例,請參閱 稽核問題清單報告。
如需有關 CloudWatch 記錄檔傳送至的指標的詳細資訊 CloudWatch,請參閱使用 CloudWatch 指標監控。
-
去識別 – 遮罩敏感資料,而不會中斷日誌記錄。