了解数据保护策略 - Amazon CloudWatch 日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解数据保护策略

什么是数据保护策略?

CloudWatch 日志使用数据保护策略来选择要扫描的敏感数据,以及为保护这些数据而要采取的操作。要选择感兴趣的敏感数据,您可以使用数据标识符。 CloudWatch 记录数据保护,然后使用机器学习和模式匹配来检测敏感数据。要对找到的数据标识符采取操作,您可以定义审计去身份识别操作。利用这些操作,您可以记录已找到(或未找到)的敏感数据,并在查看日志事件时屏蔽敏感数据。

数据保护策略采用什么结构?

如下图所示,数据保护策略文档包含以下元素:

  • 文档顶部的可选策略范围信息

  • 一个定义审计和去身份识别操作的语句

每个 CloudWatch 日志组只能定义一个数据保护策略。数据保护策略可以有一个或多个拒绝或去身份识别语句,但只能有一个审计语句。

JSON数据保护策略的属性

数据保护策略需要以下基本策略信息用于识别:

  • Name(名称)– 策略名称。

  • Description(描述)(可选)– 策略描述。

  • Version(版本)– 策略语言版本。当前版本为 2021-06-01。

  • Statement(语句)– 指定数据保护策略操作的语句列表。

{ "Name": "CloudWatchLogs-PersonalInformation-Protection", "Description": "Protect basic types of sensitive data", "Version": "2021-06-01", "Statement": [ ... ] }

JSON策略声明的属性

策略语句设置数据保护操作的检测上下文。

  • Sid(可选)– 语句标识符。

  • DataIdentifier— CloudWatch 日志应扫描的敏感数据。例如,姓名、地址或电话号码。

  • 操作-后续操作,可以是 “审计” 或 “取消标识”。 CloudWatch 日志在发现敏感数据时会执行这些操作。

{ ... "Statement": [ { "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/Address" ], "Operation": { "Audit": { "FindingsDestination": {} } } },

JSON策略声明操作的属性

策略语句设置以下数据保护操作之一。

  • 审计 - 在不中断日志记录的情况下发出指标和结果报告。匹配的字符串会增加 L CloudWatch ogs 发布到 AWS/Logs 命名空间的LogEventsWithFindings指标。 CloudWatch您可以使用这些指标创建警报。

    有关结果报告的示例,请参阅 审计结果报告

    有关 CloudWatch 日志发送到的指标的更多信息 CloudWatch,请参阅使用 CloudWatch 指标进行监控

  • 去身份识别 – 在不中断日志记录的情况下屏蔽敏感数据。