审计结果报告 - Amazon CloudWatch 日志
将审计结果发送到受保护的存储桶所需的密钥策略 Amazon KMS
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

审计结果报告

如果您将 CloudWatch 日志数据保护审计策略设置为将审计报告写入 CloudWatch 日志、Amazon S3 或 Kinesis Data Firehose,则这些发现报告与以下示例类似。 CloudWatch 日志会为每个包含敏感数据的日志事件写入一份发现报告。

{
    "auditTimestamp": "2023-01-23T21:11:20Z",
    "resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*",
    "dataIdentifiers": [
        {
            "name": "EmailAddress",
            "count": 2,
            "detections": [
                {
                    "start": 13,
                    "end": 26
                },
{
                    "start": 30,
                    "end": 43
                }
            ]
        }
    ]
}

报告中的字段如下:

  • resourceArn 字段显示发现敏感数据的日志组。

  • dataIdentifiers 对象显示有关您正在审计的一种敏感数据的发现结果的信息。

  • name 字段标识此部分报告的敏感数据类型。

  • count 字段显示此类敏感数据在日志事件中出现的次数。

  • startend 字段按字符计数显示日志事件中每次出现敏感数据的位置。

前面的示例显示了在一个日志事件中找到两个电子邮件地址的报告。第一个电子邮件地址从日志事件的第 13 个字符开始,到第 26 个字符结束。第二个电子邮件地址从第 30 个字符到第 43 个字符。即使此日志事件有两个电子邮件地址,LogEventsWithFindings 指标的值也只递增一,因为该指标计算包含敏感数据的日志事件的数量,而不是敏感数据的出现次数。

将审计结果发送到受保护的存储桶所需的密钥策略 Amazon KMS

您可以通过启用 Amazon S3 托管式密钥的服务器端加密 (SSE-S3) 或 KMS 密钥的服务器端加密 (SSE-KMS) 来保护 Amazon S3 存储桶中的数据。有关详情,请参阅《Amazon S3 用户指南》中的使用服务器端加密保护数据

如果将审计调查结果发送到 SSE-S3 保护的存储桶,则不需要额外的配置。Amazon S3 处理加密密钥。

如果将审计调查发现发送到 SSE-KMS 保护的存储桶,则您必须更新 KMS 密钥的密钥政策,以确保日志传输账户可以写入您的 S3 存储桶。有关与 SSE-KMS 一起使用的所需密钥策略的更多信息,请参阅 Amazon L CloudWatch ogs 用户指南Amazon S3中的。