本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
自定义数据标识符
什么是自定义数据标识符?
自定义数据标识符(CDI)可让您定义自己的自定义正则表达式,这些正则表达式可以在您的数据保护策略中使用。使用自定义数据标识符,您可以指向托管式数据标识符无法提供的特定于业务的个人身份信息(PII)用例。例如,您可以使用自定义数据标识符来查找公司特定的员工 ID。自定义数据标识符可以与托管式数据标识符结合使用。
自定义数据标识符限制
CloudWatch 日志自定义数据标识符有以下限制:
-
每项数据保护策略最多支持 10 个自定义数据标识符。
-
自定义数据标识符名称最多可包含 128 个字符。支持以下字符:
-
字母数字:(a-zA-Z0-9)
-
符号:( '_' | '-' )
-
-
RegEx 的最大长度为 200 个字符。支持以下字符:
-
字母数字:(a-zA-Z0-9)
-
符号:( '_' | '#' | '=' | '@' |'/' | ';' | ',' | '-' | ' ' )
-
RegEx 保留字符:( '^' | '$' | '?' | '[' | ']' | '{' | '}' | '|' | '\\' | '*' | '+' | '.' )
-
-
自定义数据标识符不能与托管式数据标识符同名。
-
可以在账户级数据保护策略或日志组级别的数据保护策略中指定自定义数据标识符。与托管数据标识符类似,账户级策略中定义的自定义数据标识符与日志组级别策略中定义的自定义数据标识符结合使用。
在控制台中使用自定义数据标识符
使用 CloudWatch 控制台创建或编辑数据保护策略时,要指定自定义数据标识符,只需输入数据标识符的名称和正则表达式即可。例如,您可以输入Employee_ID名称和EmployeeID-\d{9}作为正则表达式。此正则表达式将检测并屏蔽后面有九个数字的日志事件EmployeeID-。例如,EmployeeID-123456789
在数据保护策略中使用自定义数据标识符
如果您使用 Amazon CLI 或 Amazon API 来指定自定义数据标识符,则需要在用于定义数据保护策略的 JSON 策略中包含数据标识符名称和正则表达式。以下数据保护策略可检测和屏蔽带有公司特定员工 ID 的日志事件。
-
在您的数据保护策略中创建一个
Configuration块。 -
为您的自定义数据标识符输入
Name。例如,EmployeeId。 -
为您的自定义数据标识符输入
Regex。例如,EmployeeID-\d{9}。此正则表达式将匹配包含后面EmployeeID-有九位数的日志事件EmployeeID-。例如,EmployeeID-123456789 -
请参阅策略声明中的以下自定义数据标识符。
{ "Name": "example_data_protection_policy", "Description": "Example data protection policy with custom data identifiers", "Version": "2021-06-01", "Configuration": { "CustomDataIdentifier": [ {"Name": "EmployeeId", "Regex": "EmployeeId-\\d{9}"} ] }, "Statement": [ { "Sid": "audit-policy", "DataIdentifier": [ "EmployeeId" ], "Operation": { "Audit": { "FindingsDestination": { "S3": { "Bucket": "EXISTING_BUCKET" } } } } }, { "Sid": "redact-policy", "DataIdentifier": [ "EmployeeId" ], "Operation": { "Deidentify": { "MaskConfig": { } } } } ] } -
(可选)根据需要继续向
Configuration块添加其他自定义数据标识符。数据保护策略目前支持最多 10 个自定义数据标识符。