本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 了解数据保护策略
**Topics**
+ [什么是数据保护策略?](#what-are-data-protection-policies)
+ [数据保护策略采用什么结构?](#overview-of-data-protection-policies)
## 什么是数据保护策略?
CloudWatch 日志使用**数据保护策略**来选择要扫描的敏感数据,以及为保护这些数据而要采取的操作。要选择感兴趣的敏感数据,请使用[数据标识符](CWL-managed-data-identifiers.md)。 CloudWatch 记录数据保护,然后使用机器学习和模式匹配来检测敏感数据。要对找到的数据标识符采取操作,您可以定义**审计**和**去身份识别**操作。利用这些操作,您可以记录已找到(或未找到)的敏感数据,并在查看日志事件时屏蔽敏感数据。
## 数据保护策略采用什么结构?
如下图所示,数据保护策略文档包含以下元素:
+ 文档顶部的可选策略范围信息
+ 一个定义审计和去身份识别操作的语句
每个 Lo CloudWatch gs 日志组只能定义一个数据保护策略。数据保护策略可以有一个或多个拒绝或去身份识别语句,但只能有一个审计语句。
### 数据保护策略的 JSON 属性
数据保护策略需要以下基本策略信息用于识别:
+ **Name**(名称)– 策略名称。
+ **描述**(可选):策略描述。
+ **Version**(版本)– 策略语言版本。当前版本为 2021-06-01。
+ **Statement**(语句)– 指定数据保护策略操作的语句列表。
```
{
"Name": "CloudWatchLogs-PersonalInformation-Protection",
"Description": "Protect basic types of sensitive data",
"Version": "2021-06-01",
"Statement": [
...
]
}
```
### 策略语句的 JSON 属性
策略语句设置数据保护操作的检测上下文。
+ **Sid**(可选)– 语句标识符。
+ **DataIdentifier**— CloudWatch 日志应扫描的敏感数据。例如,姓名、地址或电话号码。
+ **操作**-后续操作,可以是 “**审计**” 或 “**取消**标识”。 CloudWatch 日志在发现敏感数据时会执行这些操作。
```
{
...
"Statement": [
{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/Address"
],
"Operation": {
"Audit": {
"FindingsDestination": {}
}
}
},
```
### 策略语句操作的 JSON 属性
策略语句设置以下数据保护操作之一。
+ **审计**:在不中断日志记录的情况下发出指标和结果报告。匹配的字符串会增加 L CloudWatch ogs 发布到 **AWS/Logs 命名空间的**LogEventsWithFindings**指标。** CloudWatch您可以使用这些指标创建警报。
有关结果报告的示例,请参阅 [审计结果报告](mask-sensitive-log-data-audit-findings.md)。
有关 CloudWatch 日志发送到的指标的更多信息 CloudWatch,请参阅[使用 CloudWatch 指标进行监控](CloudWatch-Logs-Monitoring-CloudWatch-Metrics.md)。
+ **去身份识别** – 在不中断日志记录的情况下屏蔽敏感数据。