Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d'une politique de protection des données à l'échelle du compte
Vous pouvez utiliser la CloudWatch console ou AWS CLI les commandes pour créer une politique de protection des données afin de masquer les données sensibles pour tous les groupes de journaux de votre compte. Cela s'applique à la fois les groupes de journaux actuels et les groupes de journaux que vous créerez à l'avenir.
Important
Les données sensibles sont détectées et masquées lorsqu'elles sont ingérées dans le groupe de journaux. Lorsque vous définissez une politique de protection des données, les événements du journal enregistrés dans le groupe de journaux avant cette date ne sont pas masqués.
console
Pour utiliser la console afin de créer une politique de protection des données à l'échelle du compte
-
Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/
. -
Dans le panneau de navigation, sélectionnez Settings (Paramètres). Il est situé vers le bas de la liste.
Sélectionnez l'onglet Logs (Journaux).
Choisissez Configurer.
Dans Identifiants de données gérés, sélectionnez les types de données que vous souhaitez auditer et masquer dans ce groupe de journaux. Vous pouvez saisir dans la zone de sélection pour trouver les identifiants souhaités.
Nous vous recommandons de sélectionner uniquement les identifiants de données pertinents pour vos données de journal et votre activité. Le choix de plusieurs types de données peut entraîner des faux positifs.
Pour plus de détails sur les différents types de données que vous pouvez protéger, consultez Types de données que vous pouvez protéger (français non garanti).
(Facultatif) Si vous souhaitez auditer et masquer d'autres types de données à l'aide d'identifiants de données personnalisés, choisissez Ajouter un identifiant de données personnalisé. Entrez ensuite un nom pour le type de données et l'expression régulière à utiliser pour rechercher ce type de données dans le journal des événements. Pour de plus amples informations, veuillez consulter Identificateurs des données personnalisés.
Une seule politique de protection des données peut inclure jusqu'à 10 identifiants de données personnalisés. Chaque expression régulière qui définit un identifiant de données personnalisé doit comporter 200 caractères ou moins.
(Facultatif) Choisissez un ou plusieurs services auxquels envoyer les résultats de l'audit. Même si vous choisissez de ne pas envoyer les résultats d'audit à l'un de ces services, les types de données sensibles que vous sélectionnez resteront masqués.
Choisissez Activate data protection (Activer la protection des données).
AWS CLI
Utilisation de l' AWS CLI afin de créer une politique de protection des données
Utilisez un éditeur de texte pour créer un fichier de politique nommé
DataProtectionPolicy.json. Pour plus d'informations sur la syntaxe des politiques, consultez la section suivante.Entrez la commande suivante :
aws logs put-account-policy \ --policy-name TEST_POLICY --policy-type "DATA_PROTECTION_POLICY" \ --policy-document file://policy.json \ --scope "ALL" \ --regionus-west-2
Syntaxe de la politique de protection des données pour les opérations de la AWS CLI ou de l'
Lorsque vous créez une politique de protection des données JSON à utiliser dans une AWS CLI commande ou une opération d'API, la politique doit comprendre deux blocs JSON :
Le premier bloc doit comprendre à la fois un tableau
DataIdentiferet uneOperationpropriété avec uneAuditaction. LeDataIdentifertableau répertorie les types de données sensibles que vous souhaitez masquer. Pour obtenir des informations détaillées sur toutes les options disponibles, veuillez consulter Types de données que vous pouvez protéger.La
Operationpropriété associée à uneAuditaction est requise pour trouver les termes relatifs aux données sensibles. Cette actionAuditdoit contenir un objetFindingsDestination. Vous pouvez éventuellement utiliser cet objetFindingsDestinationpour répertorier une ou plusieurs destinations vers lesquelles envoyer les rapports de résultats d'audit. Si vous spécifiez des destinations telles que des groupes de journaux, des flux Amazon Data Firehose et des compartiments S3, elles doivent déjà exister. Pour obtenir un exemple de rapport de résultats d'audit, veuillez consulter Rapports de résultats d'audit.Le deuxième bloc doit comprendre à la fois un tableau
DataIdentiferet une propriétéOperationavec une actionDeidentify. Le tableauDataIdentiferdoit correspondre exactement auDataIdentifertableau du premier bloc de la politique.La propriété
Operationassociée à l'actionDeidentifyest ce qui masque réellement les données, et elle doit contenir l'objet"MaskConfig": {}. L'objet"MaskConfig": {}doit être vide.
Voici un exemple de politique de protection des données utilisant uniquement des identifiants de données gérés. Cette politique masque les adresses électroniques et les permis de conduire américains.
Pour plus d'informations sur les politiques qui spécifient des identifiants de données personnalisés, consultezUtilisation d'identifiants de données personnalisés dans votre politique de protection des données.
{ "Name": "data-protection-policy", "Description": "test description", "Version": "2021-06-01", "Statement": [{ "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Audit": { "FindingsDestination": { "CloudWatchLogs": { "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT," }, "Firehose": { "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT" }, "S3": { "Bucket": "EXISTING_BUCKET" } } } } }, { "Sid": "redact-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Deidentify": { "MaskConfig": {} } } } ] }
