Den Schutz vertraulicher Protokolldaten mit Maskierung unterstützen

Sie können dazu beitragen, vertrauliche Daten, die von CloudWatch Logs aufgenommen werden, zu schützen, indem Sie Datenschutzrichtlinien für Protokollgruppen verwenden. Mit diesen Richtlinien können Sie sensible Daten prüfen und maskieren, die in Protokollereignissen vorkommen, die von den Protokollgruppen in Ihrem Konto erfasst werden.

Wenn Sie eine Datenschutzrichtlinie erstellen, werden standardmäßig sensible Daten maskiert, die mit den von Ihnen ausgewählten Datenidentifikatoren übereinstimmen, an allen Ausgangspunkten maskiert, einschließlich CloudWatch Logs Insights, Metrikfiltern und Abonnementfiltern. Nur Benutzer mit der IAM-Berechtigung logs:Unmask können unmaskierte Daten anzeigen.

Sie können eine Datenschutzrichtlinie für alle Protokollgruppen in Ihrem Konto erstellen, und Sie können auch eine Datenschutzrichtlinie für einzelne Protokollgruppen erstellen. Wenn Sie eine Richtlinie für Ihr gesamtes Konto erstellen, gilt sie sowohl für bestehende Protokollgruppen als auch für Protokollgruppen, die in Zukunft erstellt werden.

Wenn Sie eine Datenschutzrichtlinie für Ihr gesamtes Konto und gleichzeitig eine Richtlinie für eine einzelne Protokollgruppe erstellen, gelten beide Richtlinien für diese Protokollgruppe. Alle verwalteten Datenidentifikatoren, die in einer der beiden Richtlinien angegeben sind, werden in dieser Protokollgruppe geprüft und maskiert.

Jede Protokollgruppe kann nur eine Datenschutzrichtlinie auf Protokollgruppenebene haben, aber diese Richtlinie kann viele verwaltete Datenkennungen angeben, die geprüft und maskiert werden sollen. Das Limit für eine Datenschutzrichtlinie beträgt 30 720 Zeichen.

CloudWatch Logs unterstützt viele verwaltete Datenkennungen, die vorkonfigurierte Datentypen bieten, die Sie auswählen können, um Finanzdaten, persönliche Gesundheitsinformationen (PHI) und persönlich identifizierbare Informationen (PII) zu schützen. CloudWatch Mit dem Datenschutz von Logs können Sie Musterabgleich und Machine-Learning-Modelle nutzen, um vertrauliche Daten zu erkennen. Bei einigen Arten verwalteter Datenkennungen hängt die Erkennung auch davon ab, dass bestimmte Schlüsselwörter in der Nähe der vertraulichen Daten gefunden werden. Sie können auch benutzerdefinierte Datenkennungen verwenden, um Datenkennungen zu erstellen, die auf Ihren speziellen Anwendungsfall zugeschnitten sind.

Eine Metrik wird ausgegeben, CloudWatch wenn sensible Daten erkannt werden, die mit den von Ihnen ausgewählten Daten-IDs übereinstimmen. Dies ist die LogEventsWithFindingsMetrik und sie wird im AWS/Logs-Namespace ausgegeben. Sie können diese Metrik verwenden, um CloudWatch Alarme zu erstellen, und Sie können sie in Grafiken und Dashboards visualisieren. Die vom Datenschutz ausgegebenen Metriken sind angebotene Metriken und sind kostenlos. Weitere Informationen zu den Metriken, an die CloudWatch Logs sendet CloudWatch, finden Sie unterÜberwachung mit CloudWatch Metriken.

Jede verwaltete Datenkennung ist so konzipiert, dass sie eine bestimmte Art von sensiblen Daten erkennt, wie Kreditkartennummern, AWS geheime -Zugriffsschlüssel oder Passnummern für ein bestimmtes Land oder eine bestimmte Region. Beim Erstellen einer Datenschutzrichtlinie können Sie es so konfigurieren, dass diese Kennungen von der Protokollgruppe aufgenommene Protokolle analyisieren und bei entsprechender Erkennung Maßnahmen ergreifen.

CloudWatch Der Datenschutz von Logs kann mithilfe verwalteter Datenkennungen die folgenden Kategorien Kategorien Kategorien Kategorien Kategorien Kategorien von Daten erkennen:

Einzelheiten zu den Datentypen, die Sie schützen können, finden Sie unter Arten von Daten, die Sie schützen können.