本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 自定义数据标识符
<a name="CWL-custom-data-identifiers"></a>

**Topics**
+ [什么是自定义数据标识符？](#what-are-custom-data-identifiers)
+ [自定义数据标识符限制](#custom-data-identifiers-constraints)
+ [在控制台中使用自定义数据标识符](#using-custom-data-identifiers-console)
+ [在数据保护策略中使用自定义数据标识符](#using-custom-data-identifiers)

## 什么是自定义数据标识符？
<a name="what-are-custom-data-identifiers"></a>

自定义数据标识符 (CDIs) 允许您定义自己的自定义正则表达式，这些正则表达式可以在您的数据保护策略中使用。使用自定义数据标识符，您可以指向[托管式数据标识符](CWL-managed-data-identifiers.md)无法提供的特定于业务的个人身份信息（PII）用例。例如，您可以使用自定义数据标识符来查找公司特定的员工。 IDs自定义数据标识符可以与托管式数据标识符结合使用。

## 自定义数据标识符限制
<a name="custom-data-identifiers-constraints"></a>

CloudWatch 日志自定义数据标识符有以下限制：
+ 每项数据保护策略最多支持 10 个自定义数据标识符。
+ 自定义数据标识符名称最多可包含 128 个字符。支持以下字符：
  + 字母数字：(a-zA-Z0-9)
  + 符号：（'\$1' \$1 '-'）
+ RegEx 的最大长度为 200 个字符。支持以下字符：
  + 字母数字：（a-zA-Z0-9）
  + 符号：（'\$1' \$1 '\$1' \$1 '=' \$1 '@' \$1'/' \$1 ';' \$1 ',' \$1 '-' \$1 ' '）
  + RegEx 保留字符：（'^' \$1 '\$1' \$1 '?' \$1 '[' \$1 ']' \$1 '\$1' \$1 '\$1' \$1 '\$1' \$1 '\$1\$1' \$1 '\$1' \$1 '\$1' \$1 '.'） 
+ 自定义数据标识符不能与托管式数据标识符同名。
+ 可以在账户级数据保护策略或日志组级数据保护策略中指定自定义数据标识符。与托管数据标识符类似，账户级策略中定义的自定义数据标识符与日志组级策略中定义的自定义数据标识符结合使用。

## 在控制台中使用自定义数据标识符
<a name="using-custom-data-identifiers-console"></a>

使用 CloudWatch 控制台创建或编辑数据保护策略时，要指定自定义数据标识符，只需输入数据标识符的名称和正则表达式即可。例如，您可以输入 **Employee\$1ID** 作为名称，并输入 **EmployeeID-\$1d\$19\$1** 作为正则表达式。此正则表达式将检测并屏蔽 `EmployeeID-` 后面带有 9 个数字的日志事件。例如，`EmployeeID-123456789`

## 在数据保护策略中使用自定义数据标识符
<a name="using-custom-data-identifiers"></a>

如果您使用 AWS CLI 或 AWS API 来指定自定义数据标识符，则需要在用于定义数据保护策略的 JSON 策略中包含数据标识符名称和正则表达式。以下数据保护策略可检测和屏蔽涉及公司特定员工的日志事件。 IDs

1. 在您的数据保护策略中创建一个 `Configuration` 块。

1. 为您的自定义数据标识符输入 `Name`。例如 **EmployeeId**。

1. 为您的自定义数据标识符输入 `Regex`。例如 **EmployeeID-\$1d\$19\$1**。此正则表达式将匹配包含 `EmployeeID-` 且 `EmployeeID-` 后面有 9 位数字的日志事件。例如，`EmployeeID-123456789`

1. 请参阅策略声明中的以下自定义数据标识符。

   ```
   {
       "Name": "example_data_protection_policy",
       "Description": "Example data protection policy with custom data identifiers",
       "Version": "2021-06-01",
       "Configuration": {
         "CustomDataIdentifier": [
           {"Name": "EmployeeId", "Regex": "EmployeeId-\\d{9}"}   
         ]
       },
       "Statement": [
           {
               "Sid": "audit-policy",
               "DataIdentifier": [
                   "EmployeeId"
               ],
               "Operation": {
                   "Audit": {
                       "FindingsDestination": {
                           "S3": {
                               "Bucket": "EXISTING_BUCKET"
                           }
                       }
                   }
               }
           },
           {
               "Sid": "redact-policy",
               "DataIdentifier": [
               "EmployeeId"
               ],
               "Operation": {
                   "Deidentify": {
                       "MaskConfig": {
                       }
                   }
               }
           }
       ]
   }
   ```

1. （可选）根据需要继续向 `Configuration` 块添加其他**自定义数据标识符**。数据保护策略目前支持最多 10 个自定义数据标识符。