本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
通过屏蔽帮助保护敏感的日志数据
您可以使用 CloudWatch 日志组数据保护策略来帮助保护 Logs 摄取的敏感数据。使用这些策略可以审核和屏蔽账户中日志组提取的日志事件中出现的敏感数据。
创建数据保护策略时,默认情况下,与您选择的数据标识符匹配的敏感数据将在所有出口点被屏蔽,包括 Lo CloudWatch gs Insights、指标筛选器和订阅筛选器。只有拥有 logs:Unmask IAM 权限的用户才能查看未屏蔽的数据。
您可以为账户中所有日志组创建数据保护策略,也可以为各个日志组创建数据保护策略。当为整个账户创建策略时,它既适用于现有日志组,也适用于将来创建的日志组。
如果为整个账户创建了数据保护策略,并且还为单个日志组创建了策略,则这两个策略都适用于该日志组。任一策略中指定的所有托管数据标识符都会在该日志组中进行审核和屏蔽。
每个日志组只能有一个日志组级别的数据保护策略,但是该策略可以指定许多要审核和屏蔽的托管数据标识符。数据保护策略的限制为 30,720 个字符。
重要
将敏感数据摄入日志组时会进行检测并屏蔽。设置数据保护策略时,不会屏蔽在该时间之前摄入到日志组的日志事件。
CloudWatch 日志数据保护允许您利用模式匹配和机器学习模型来检测敏感数据。使用的标准和技术称为托管数据标识符。这些技术可以检测许多国家和地区的大量敏感数据类型,包括财务数据、个人身份信息和受保护健康信息。对于某些类型的数据,检测还取决于是否找到与敏感数据接近的某些关键字。
当检测到与您选择的数据标识符匹配的敏感数据 CloudWatch 时,就会发出一个指标。这是LogEventsWithFindings指标,它在 AWS/ Logs 命名空间中发布。您可以使用此指标来创建 CloudWatch 警报,也可以在图表和仪表板中将其可视化。数据保护发出的指标是出售的指标,是免费的。有关 CloudWatch 日志发送到的指标的更多信息 CloudWatch,请参阅使用 CloudWatch 指标进行监控。
每个托管数据标识符都旨在检测特定类型的敏感数据,例如信用卡号、 Amazon 秘密访问密钥或特定国家或地区的护照号码。创建数据保护策略时,您可以将其配置为使用这些标识符来分析通过日志组摄取的日志,并在检测到敏感数据时采取措施。
CloudWatch 日志数据保护可以使用托管数据标识符检测以下类别的敏感数据:
证书,例如私钥或私有访问 Amazon 密钥
财务信息,例如信用卡号
个人身份信息(PII),例如驾驶执照或社会安全号码
受保护健康信息(PHI),例如健康保险或医疗识别号码
设备标识符,例如 IP 地址或 MAC 地址
有关您可以保护的数据类型的详细信息,请参阅 您可以保护的数据类型。