保护敏感数据
Amazon CloudWatch Logs 通过数据保护策略识别敏感数据,并制定相应的数据防护操作。要选择感兴趣的敏感数据,您可以使用数据标识符。随后 Amazon CloudWatch Logs 将通过机器学习与模式匹配技术检测敏感数据。您可定义审计和掩蔽操作,以便对敏感数据调查发现进行日志记录,并在查看日志事件时对敏感数据进行掩蔽。
有关更多信息,请参阅使用掩蔽保护敏感日志数据。
您可在账户层级或日志组层级为 Amazon Bedrock AgentCore 配置数据保护功能。在账户层级数据保护模式下,数据保护规则将应用于账户内的所有日志。在日志层级数据保护模式下,数据保护规则将应用于账户内的指定日志组。通过该配置,可对账户内 PII 数据的脱敏方式实现精细化管控。
在账户层级配置数据保护功能
-
打开 Amazon CloudWatch 控制台。
-
在导航窗格中,选择设置。
-
选择日志选项卡。
-
选择配置数据保护账户策略。
-
指定与数据相关的数据标识符。
-
若使用预定义数据标识符,在托管数据标识符下拉菜单中,选择与数据相关的数据标识符。
-
若使用自定义数据标识符,选择添加自定义数据标识符,然后为该标识符指定名称,并为待保护数据设置正则表达式(Regex)匹配规则。
-
-
(可选)为审计调查发现指定接收目标。
-
要将审计调查发现发送到 CloudWatch 日志,请选择 Amazon CloudWatch Logs,然后选择目标日志组。
-
要将审计调查发现发送到 Firehose 数据流,请选择 Amazon Data Firehose,然后选择目标 Firehose 数据流。
-
要将审计调查发现发送到 Amazon S3 存储桶,请选择 Amazon S3,然后选择目标 Amazon S3 存储桶。
-
-
选择 Activate data protection(激活数据保护)。
在日志组层级配置数据保护功能
-
打开 Amazon CloudWatch 控制台。
-
在导航窗格中,依次选择日志、日志管理。
-
选择日志组选项卡,选取要启用数据保护的日志组,然后选择创建数据保护策略。
-
指定与数据相关的数据标识符。
-
若使用预定义数据标识符,在托管数据标识符下拉菜单中,选择与数据相关的数据标识符。
-
若使用自定义数据标识符,选择添加自定义数据标识符,然后为该标识符指定名称,并为待保护数据设置正则表达式(Regex)匹配规则。
-
-
(可选)为审计调查发现指定接收目标。
-
要将审计调查发现发送到 CloudWatch 日志,请选择 Amazon CloudWatch Logs,然后选择目标日志组。
-
要将审计调查发现发送到 Firehose 数据流,请选择 Amazon Data Firehose,然后选择目标 Firehose 数据流。
-
要将审计调查发现发送到 Amazon S3 存储桶,请选择 Amazon S3,然后选择目标 Amazon S3 存储桶。
-
-
选择 Activate data protection(激活数据保护)。