通过屏蔽帮助保护敏感的日志数据 - Amazon CloudWatch 日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

通过屏蔽帮助保护敏感的日志数据

可以使用日志组数据保护策略帮助保护 CloudWatch Logs 提取的敏感数据。使用这些策略可以审核和屏蔽账户中日志组提取的日志事件中出现的敏感数据。

创建数据保护策略时,默认情况下,将在所有出口点屏蔽与您所选数据标识符相匹配的敏感数据,包括 CloudWatch Logs Insights、指标筛选条件和订阅筛选条件。只有拥有 logs:Unmask IAM 权限的用户才能查看未屏蔽的数据。

您可以为账户中所有日志组创建数据保护策略,也可以为各个日志组创建数据保护策略。当为整个账户创建策略时,它既适用于现有日志组,也适用于将来创建的日志组。

如果为整个账户创建了数据保护策略,并且还为单个日志组创建了策略,则这两个策略都适用于该日志组。任一策略中指定的所有托管数据标识符都会在该日志组中进行审核和屏蔽。

注意

仅标准日志类中的日志组支持屏蔽敏感数据。如果您为账户中的所有日志组创建数据保护策略,则该策略仅适用于标准日志类中的日志组。有关日志类的更多信息,请参阅 日志类

每个日志组只能有一个日志组级别的数据保护策略,但是该策略可以指定许多要审核和屏蔽的托管数据标识符。数据保护策略的限制为 30,720 个字符。

重要

将敏感数据摄入日志组时会进行检测并屏蔽。设置数据保护策略时,不会屏蔽在该时间之前摄入到日志组的日志事件。

CloudWatch Logs 支持许多托管数据标识符,它们提供您可以选择的预配置数据类型来保护财务数据、个人健康信息(PHI)和个人身份信息(PII)。CloudWatch Logs 数据保护允许您利用模式匹配和机器学习模型来检测敏感数据。对于某些类型的托管数据标识符,检测还取决于是否找到与敏感数据接近的某些关键字。您还可以使用自定义数据标识符来创建针对特定使用场景量身定制的数据标识符。

当检测到与您选择的数据标识符匹配的敏感数据时,系统会向 CloudWatch 发出指标。这是 LogEventsWithFindings 指标,它是在 AWS/Logs 命名空间中发出的。您可以使用此指标创建 CloudWatch 警报,并且可以在图表和仪表板中将其可视化。数据保护发出的指标是出售的指标,是免费的。有关 CloudWatch Logs 发送给 CloudWatch 的指标的更多信息,请参阅 使用 CloudWatch 指标进行监控

每个托管数据标识符都设计用于检测特定类型的敏感数据,例如信用卡号、Amazon 秘密访问密钥或者特定国家或地区的护照号码。创建数据保护策略时,您可以将其配置为使用这些标识符来分析通过日志组摄取的日志,并在检测到敏感数据时采取措施。

CloudWatch Logs 数据保护可以使用托管数据标识符检测以下类别的敏感数据:

  • 凭证,例如私有密钥或 Amazon 秘密访问密钥

  • 财务信息,例如信用卡号

  • 个人身份信息(PII),例如驾驶执照或社会安全号码

  • 受保护健康信息(PHI),例如健康保险或医疗识别号码

  • 设备标识符,例如 IP 地址或 MAC 地址

有关您可以保护的数据类型的详细信息,请参阅 您可以保护的数据类型

目录