本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
审计结果报告
如果您将 CloudWatch 日志数据保护审计策略设置为将审计报告写入 CloudWatch 日志、Amazon S3 或 Firehose,则这些发现报告与以下示例类似。 CloudWatch 日志会为每个包含敏感数据的日志事件写入一份发现报告。
{ "auditTimestamp": "2023-01-23T21:11:20Z", "resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*", "dataIdentifiers": [ { "name": "EmailAddress", "count": 2, "detections": [ { "start": 13, "end": 26 }, { "start": 30, "end": 43 } ] } ] }
报告中的字段如下:
resourceArn
字段显示发现敏感数据的日志组。dataIdentifiers
对象显示有关您正在审计的一种敏感数据的发现结果的信息。name
字段标识此部分报告的敏感数据类型。count
字段显示此类敏感数据在日志事件中出现的次数。start
和end
字段按字符计数显示日志事件中每次出现敏感数据的位置。
前面的示例显示了在一个日志事件中找到两个电子邮件地址的报告。第一个电子邮件地址从日志事件的第 13 个字符开始,到第 26 个字符结束。第二个电子邮件地址从第 30 个字符到第 43 个字符。即使此日志事件有两个电子邮件地址,LogEventsWithFindings
指标的值也只递增一,因为该指标计算包含敏感数据的日志事件的数量,而不是敏感数据的出现次数。
将审计结果发送到受保护的存储桶所需的密钥策略 Amazon KMS
您可以通过启用使用 Amazon S3 托管密钥的服务器端加密 (SSE-S3) 或使用密钥进行服务器端加密 (-) 来保护 Amazon S3 存储桶中的数据。KMS SSE KMS有关详情,请参阅《Amazon S3 用户指南》中的使用服务器端加密保护数据。
如果您将审计结果发送到受 SSE-S3 保护的存储桶,则无需进行其他配置。Amazon S3 处理加密密钥。
如果您向使用 SSE-保护的存储桶发送审计结果KMS,则必须更新密钥的密钥策略,以便日志传输账户可以写入您的 S3 存储桶。KMS有关与 SSE-一起使用的所需密钥策略的更多信息KMS,请参阅 Amazon CloudWatch Logs 用户指南Amazon S3中的。