本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解資料保護政策
什麼是資料保護政策?
CloudWatch Logs 使用資料保護政策來選取您要掃描的敏感資料,以及您想要執行以保護資料的動作。若要選擇感興趣的敏感資料,請使用資料識別符。然後,CloudWatch Logs 資料資料保護會使用機器學習和模式比對來偵測敏感資料。若要根據找到的資料識別符採取行動,您可以定義稽核和去識別化操作。這些操作可讓您記錄找到 (或未找到) 的敏感資料,並在檢視日誌事件時遮罩敏感資料。
資料保護政策的結構如何?
如下圖所示,資料保護政策文件包含以下元素:
-
在文件最上方選用的整體政策資訊
-
定義稽核和去識別動作的一條陳述式
每個 CloudWatch Logs 日誌群組只能定義一種資料保護政策。資料保護政策可以有一或多個拒絕或去識別化陳述式,但只能有一個稽核陳述式。
資料保護政策的 JSON 屬性
資料保護政策需要下列基本政策資訊才能識別:
-
Name - 政策名稱。
-
Description (選用) - 政策描述。
-
Version - 政策語言版本。目前版本是 2021-06-01。
-
Statement - 指定資料保護政策動作的陳述式清單。
{ "Name": "CloudWatchLogs-PersonalInformation-Protection", "Description": "Protect basic types of sensitive data", "Version": "2021-06-01", "Statement": [ ... ] }
政策陳述式的 JSON 屬性
政策陳述式會設定資料保護操作的偵測內容。
-
Sid (選用) - 陳述式識別符。
-
DataIdentifier – CloudWatch Logs 應掃描的敏感資料。例如,姓名、地址或電話號碼。
-
操作 – 后續動作 (稽核或去識別)。CloudWatch Logs 會在找到敏感資料時執行這些動作。
{ ... "Statement": [ { "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/Address" ], "Operation": { "Audit": { "FindingsDestination": {} } } },
政策陳述式操作的 JSON 屬性
政策陳述式會設定下列其中一項資料保護操作。
-
稽核 – 發出指標和問題清單報告,而不會中斷日誌記錄。符合的字串會增加 LogEventsWithFindings 指標,CloudWatch Logs 將此指標發佈到 CloudWatch 中的 AWS/Logs 命名空間。您可以使用這些指標建立警示。
如需問題清單報告的範例,請參閱 稽核問題清單報告。
如需有關 CloudWatch Logs 傳送至 CloudWatch 之指標的詳細資訊,請參閱 使用 CloudWatch 指標監控使用量。
-
去識別 – 遮罩敏感資料,而不會中斷日誌記錄。
