단일 로그 그룹에 대한 데이터 보호 정책 생성 - Amazon CloudWatch Logs
콘솔AWS CLI

단일 로그 그룹에 대한 데이터 보호 정책 생성

CloudWatch Logs 콘솔 또는 AWS CLI 명령을 사용하여 민감한 데이터를 마스킹 처리하는 데이터 보호 정책을 생성할 수 있습니다.

각 로그 그룹에 하나의 데이터 보호 정책을 할당할 수 있습니다. 각 데이터 보호 정책은 여러 유형의 정보를 감사할 수 있습니다. 각 데이터 보호 정책은 하나의 감사 명령문을 포함할 수 있습니다.

콘솔

콘솔을 사용하여 데이터 보호 정책을 생성하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 로그, 로그 그룹을 선택합니다.

  3. 로그 그룹의 이름을 선택합니다.

  4. 작업, 데이터 보호 정책 생성을 선택합니다.

  5. 관리형 데이터 식별자의 경우 이 로그 그룹에서 감사하고 마스킹 처리할 데이터 유형을 선택합니다. 선택 상자에 입력하여 원하는 식별자를 찾을 수 있습니다.

    로그 데이터 및 비즈니스와 관련된 데이터 식별자만 선택하는 것이 좋습니다. 여러 유형의 데이터를 선택하면 오탐이 발생할 수 있습니다.

    관리형 데이터 식별자를 사용하여 보호할 수 있는 데이터 유형에 대한 자세한 내용은 보호할 수 있는 데이터 유형을 참조하세요.

  6. (선택 사항) 사용자 지정 데이터 식별자를 사용하여 다른 유형의 데이터를 감사하고 마스킹하려면 사용자 지정 데이터 식별자 추가를 선택합니다. 그런 다음 데이터 유형의 이름과 로그 이벤트에서 해당 데이터 유형을 검색하는 데 사용할 정규 표현식을 입력합니다. 자세한 내용은 사용자 지정 데이터 식별자 섹션을 참조하세요.

    하나의 데이터 보호 정책에 최대 10개의 사용자 지정 데이터 식별자가 포함될 수 있습니다. 사용자 지정 데이터 식별자를 정의하는 각 정규 표현식은 200자 이하여야 합니다.

  7. (선택 사항) 감사 결과를 전송할 서비스를 하나 이상 선택합니다. 이러한 서비스에 감사 결과를 보내지 않기로 선택하더라도 선택한 민감한 데이터 유형은 여전히 마스킹 처리됩니다.

  8. 데이터 보호 활성화를 선택합니다.

AWS CLI

AWS CLI을 사용하여 데이터 보호 정책을 생성하려면

  1. 텍스트 편집기를 사용하여 DataProtectionPolicy.json 정책 파일을 생성합니다. 정책 구문에 대한 자세한 내용은 다음 섹션을 참조하세요.

  2. 다음 명령을 입력합니다.

    aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2

AWS CLI 또는 API 작업을 위한 데이터 보호 정책 구문

AWS CLI 명령 또는 API 작업에 사용할 JSON 데이터 보호 정책을 만들 때는 정책에 두 개의 JSON 블록이 포함되어야 합니다.

  • 첫 번째 블록은 DataIdentifer 배열 및 Audit 작업이 있는 Operation 속성을 모두 포함해야 합니다. DataIdentifer 배열은 마스킹 처리하려는 민감한 데이터 유형을 나열합니다. 이용 가능한 옵션에 대한 자세한 내용은 보호할 수 있는 데이터 유형을 참조하세요.

    민감한 데이터 용어를 찾으려면 Audit 작업이 있는 Operation 속성이 필요합니다. 이 Audit 작업에는 FindingsDestination 객체가 포함되어야 합니다. 선택 사항으로 해당 FindingsDestination 객체를 사용하여 감사 결과 보고서를 보낼 하나 이상의 대상을 나열할 수 있습니다. 로그 그룹, Amazon Data Firehose 스트림, S3 버킷 같은 대상을 지정하는 경우 해당 대상이 이미 존재해야 합니다. 감사 결과 보고서의 예제는 감사 결과 보고서을 참조하세요.

  • 두 번째 블록은 DataIdentifer 배열 및 Deidentify 작업이 있는 Operation 속성을 모두 포함해야 합니다. DataIdentifer 배열은 정책의 첫 번째 블록에 있는 DataIdentifer 배열과 정확히 일치해야 합니다.

    Deidentify 작업이 있는 Operation 속성은 실제로 데이터를 마스킹 처리하며, 해당 속성은 "MaskConfig": {} 객체를 포함해야 합니다. "MaskConfig": {} 객체는 비어 있어야 합니다.

다음은 이메일 주소와 미국 운전면허증을 마스킹 처리하는 데이터 보호 정책의 예입니다.

{
    "Name": "data-protection-policy",
    "Description": "test description",
    "Version": "2021-06-01",
    "Statement": [{
            "Sid": "audit-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Audit": {
                    "FindingsDestination": {
                        "CloudWatchLogs": {
                            "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
                        },
                        "Firehose": {
                            "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
                        },
                        "S3": {
                            "Bucket": "EXISTING_BUCKET"
                        }
                    }
                }
            }
        },
        {
            "Sid": "redact-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Deidentify": {
                    "MaskConfig": {}
                }
            }
        }
    ]
}