本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Security OU – Log Archive 帳戶
我們希望聽到您的意見。請進行簡短的問卷 |
Log Archive 帳戶可讓您集中管理基礎設施、服務和應用程式日誌類型。如需此帳戶的詳細資訊,請參閱AWS 安全參考架構 (AWS SRA)。透過日誌的專用帳戶,您可以在所有日誌類型中套用一致的提醒,並確認事件回應者可以從一個位置存取這些日誌的彙總。您也可以從單一位置設定安全控制和資料保留政策,這可以簡化隱私權營運開銷。下圖說明在 AWS Log Archive 帳戶中設定的安全性和隱私權服務。
集中式日誌儲存
日誌檔案 (例如 AWS CloudTrail 日誌) 可能包含可能被視為個人資料的資訊。有些組織選擇使用組織線索,將跨帳戶 AWS 區域 和跨帳戶的 CloudTrail 日誌彙總到一個集中位置,以便可見。如需詳細資訊,請參閱本指南中的 AWS CloudTrail。實作 CloudTrail 日誌的集中化時,日誌通常會存放在單一區域的 Amazon Simple Storage Service (Amazon S3) 儲存貯體中。
根據您組織對個人資料的定義和適用的區域隱私權法規,您可能需要考慮跨邊界資料傳輸。如果您的組織需要符合區域隱私權法規的資料傳輸要求,下列選項可協助支援:
-
如果您的組織在 中 AWS 雲端 向多個國家的資料主體提供服務,您可以選擇彙總具有最嚴格資料駐留要求的國家/地區中的所有日誌。例如,如果您在德國營運,且要求最嚴格,您可以在 的 S3 儲存貯體中彙總資料,
eu-central-1AWS 區域 以便在德國收集的資料不會離開德國邊界。對於此選項,您可以在 CloudTrail 中設定單一組織追蹤,將來自 的日誌彙總到所有帳戶和 AWS 區域 目標區域。 -
在資料複製並彙總到另一個區域 AWS 區域 之前,修改需要保留在 中的個人資料。例如,您可以在將日誌轉移到不同區域之前,遮蔽應用程式主機區域中的個人資料。如需遮蔽個人資料的詳細資訊,請參閱本指南的 Amazon Data Firehose一節。
與您的法律顧問合作,判斷哪些個人資料在範圍內,以及允許哪些 AWS Region-to-Region傳輸。
