本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解数据保护策略
什么是数据保护策略?
CloudWatch 日志使用数据保护策略来选择要扫描的敏感数据,以及为保护这些数据而要采取的操作。要选择感兴趣的敏感数据,请使用数据标识符。 CloudWatch 记录数据保护,然后使用机器学习和模式匹配来检测敏感数据。要对找到的数据标识符采取操作,您可以定义审计和去身份识别操作。利用这些操作,您可以记录已找到(或未找到)的敏感数据,并在查看日志事件时屏蔽敏感数据。
数据保护策略采用什么结构?
如下图所示,数据保护策略文档包含以下元素:
-
文档顶部的可选策略范围信息
-
一个定义审计和去身份识别操作的语句
每个 Lo CloudWatch gs 日志组只能定义一个数据保护策略。数据保护策略可以有一个或多个拒绝或去身份识别语句,但只能有一个审计语句。
数据保护策略的 JSON 属性
数据保护策略需要以下基本策略信息用于识别:
-
Name(名称)– 策略名称。
-
Description(描述)(可选)– 策略描述。
-
Version(版本)– 策略语言版本。当前版本为 2021-06-01。
-
Statement(语句)– 指定数据保护策略操作的语句列表。
{ "Name": "CloudWatchLogs-PersonalInformation-Protection", "Description": "Protect basic types of sensitive data", "Version": "2021-06-01", "Statement": [ ... ] }
策略语句的 JSON 属性
策略语句设置数据保护操作的检测上下文。
-
Sid(可选)– 语句标识符。
-
DataIdentifier— CloudWatch 日志应扫描的敏感数据。例如,姓名、地址或电话号码。
-
操作-后续操作,可以是 “审计” 或 “取消标识”。 CloudWatch 日志在发现敏感数据时会执行这些操作。
{ ... "Statement": [ { "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/Address" ], "Operation": { "Audit": { "FindingsDestination": {} } } },
策略语句操作的 JSON 属性
策略语句设置以下数据保护操作之一。
-
审计 - 在不中断日志记录的情况下发出指标和结果报告。匹配的字符串会增加 L CloudWatch ogs 发布到 AWS/Logs 命名空间的LogEventsWithFindings指标。 CloudWatch您可以使用这些指标创建警报。
有关结果报告的示例,请参阅 审计结果报告。
有关 CloudWatch 日志发送到的指标的更多信息 CloudWatch,请参阅使用 CloudWatch 指标进行监控。
-
去身份识别 – 在不中断日志记录的情况下屏蔽敏感数据。