Rapports de résultats d'audit - Amazon CloudWatch Logs
Stratégie de clé requise pour envoyer les résultats de l'audit au compartiment protégé par AWS KMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rapports de résultats d'audit

Si vous configurez CloudWatch les politiques d'audit protection des données de Logs pour écrire des rapports d'audit à CloudWatch Logs, Amazon S3 ou Firehose, ces rapports de résultats sont similaires à l'exemple suivant. CloudWatch Logs écrit un rapport de résultats pour chaque événement du journal contenant des données sensibles.

{
    "auditTimestamp": "2023-01-23T21:11:20Z",
    "resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*",
    "dataIdentifiers": [
        {
            "name": "EmailAddress",
            "count": 2,
            "detections": [
                {
                    "start": 13,
                    "end": 26
                },
{
                    "start": 30,
                    "end": 43
                }
            ]
        }
    ]
}

Les champs du rapport sont les suivants :

  • Le champ resourceArn affiche le groupe de journaux dans lequel les données sensibles ont été trouvées.

  • L'objet dataIdentifiers affiche des informations sur les résultats relatifs à un type de données sensibles que vous auditez.

  • Le champ name identifie le type de données sensibles dont traite cette section.

  • Le champ count indique le nombre de fois que ce type de données sensibles apparaît dans l'événement du journal.

  • Les champs start et end indiquent où chaque occurrence des données sensibles apparaît dans l'événement du journal, par nombre de caractères.

L'exemple précédent montre un rapport indiquant la recherche de deux adresses e-mail dans un événement du journal. La première adresse e-mail commence au 13e caractère d'événement du journal et se termine au 26e caractère. La deuxième adresse e-mail est comprise entre le 30e et le 43e caractère. Même si cet événement du journal possède deux adresses e-mail, la valeur de la métrique LogEventsWithFindings n'est incrémentée que d'une unité, car cette métrique compte le nombre d'événements du journal contenant des données sensibles et non le nombre d'occurrences de données sensibles.

Stratégie de clé requise pour envoyer les résultats de l'audit au compartiment protégé par AWS KMS

Vous pouvez protéger les données d'un compartiment Amazon S3 en activant le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) ou le chiffrement côté serveur avec des clés KMS (SSE-KMS). Pour plus d'informations, consultez Protection des données à l'aide du chiffrement côté serveur dans le Guide de l'utilisateur d'Amazon S3.

Si vous envoyez des résultats d'audit à un compartiment protégé par SSE-S3, aucune configuration supplémentaire n'est requise. Amazon S3 gère la clé de chiffrement.

Si vous envoyez des résultats d'audit à un compartiment protégé par SSE-KMS, vous devez mettre à jour la stratégie de clé pour votre clé KMS afin que le compte de diffusion du journal puisse écrire dans votre compartiment S3. Pour plus d'informations concernant la politique de clé requise à utiliser avec SSE-KMS, consultez Amazon S3 le Guide de l'utilisateur Amazon CloudWatch Logs.