本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立帳戶層級資料保護政策
您可以使用 CloudWatch Logs 主控台或 AWS CLI 命令來建立資料保護政策,以遮罩帳戶中所有日誌群組的敏感資料。這樣做會影響目前的日誌群組和您未來建立的日誌群組。
**重要**
將敏感資料擷取至日誌群組時,系統會偵測這些資料並加以遮罩。系統不會遮罩在您設定資料保護政策之前擷取至日誌群組的日誌事件。
**Topics**
+ [主控台](#mask-sensitive-log-data-accountlevel-console)
+ [AWS CLI](#mask-sensitive-log-data-accountlevel-cli)
## 主控台
**使用主控台建立帳戶層級資料保護政策**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在導覽窗格中,選擇 ** Settings** (設定)。它位於清單底部附近。
1. 選擇 **Logs (日誌)** 索引標籤。
1. 選擇**設定**。
1. 針對**受管資料識別符**,選取您要為所有日誌群組稽核和遮罩的資料類型。您可以在選取方塊中輸入內容以尋找所需的識別符。
我們建議您只選取與日誌資料和業務相關的資料識別符。選擇的資料類型過多可能會導致誤報。
如需有關可保護的資料類型的詳細資訊,請參閱[您可以保護的資料類型](protect-sensitive-log-data-types.md)。
1. (選用) 如果您想要使用自訂資料識別符稽核和遮罩其他類型的資料,請選擇**新增自訂資料識別**符。然後輸入資料類型的名稱,以及用來在日誌事件中搜尋該資料類型的規則表達式。如需詳細資訊,請參閱[自訂資料識別符](CWL-custom-data-identifiers.md)。
單一資料保護政策最多可包含 10 個自訂資料識別符。每個定義自訂資料識別符的規則表達式都必須為 200 個字元或更少。
1. (選用) 選擇向其傳送稽核問題清單的一或多個服務。即使您選擇不將稽核問題清單傳送至任何這些服務,系統仍然會遮罩您選取的敏感資料類型。
1. 選擇 **Activate data protection** (啟動資料保護)。
## AWS CLI
**使用 AWS CLI 建立資料保護政策**
1. 使用文字編輯器來建立名為 `DataProtectionPolicy.json` 的政策檔案。如需有關政策語法的資訊,請參閱下一節。
1. 輸入以下命令:
```
aws logs put-account-policy \
--policy-name TEST_POLICY --policy-type "DATA_PROTECTION_POLICY" \
--policy-document file://policy.json \
--scope "ALL" \
--region us-west-2
```
### AWS CLI 或 API 操作的資料保護政策語法
當您建立要在 AWS CLI 命令或 API 操作中使用的 JSON 資料保護政策時,該政策必須包含兩個 JSON 區塊:
+ 第一個區塊必須同時包含 `DataIdentifer` 陣列和具有 `Audit` 動作的 `Operation` 屬性。`DataIdentifer` 陣列會列出您要遮罩的敏感資料類型。如需所有可用選項的詳細資訊,請參閱[您可以保護的資料類型](protect-sensitive-log-data-types.md)。
具有 `Audit` 動作的 `Operation` 屬性為必要項目,如此才能找到敏感資料術語。此 `Audit` 動作必須包含 `FindingsDestination` 物件。您可以選擇使用此 `FindingsDestination` 物件,來列出要向其傳送稽核問題清單報告的一或多個目的地。如果您指定目標,例如日誌群組、Amazon Data Firehose 串流和 S3 儲存貯體,它們必須已存在。如需稽核問題清單報告的範例,請參閱 [稽核問題清單報告](mask-sensitive-log-data-audit-findings.md)。
+ 第二個區塊必須同時包含 `DataIdentifer` 陣列和具有 `Deidentify` 動作的 `Operation` 屬性。`DataIdentifer` 陣列必須與政策第一個區塊中的 `DataIdentifer` 陣列完全一致。
具有 `Deidentify` 動作的 `Operation` 屬性用於實際遮罩資料,其必須包含 ` "MaskConfig": {}` 物件。` "MaskConfig": {}` 物件必須是空的。
以下是僅使用受管資料識別符的資料保護政策範例。此政策會遮罩電子郵件地址和美國駕照。
如需指定自訂資料識別符的政策相關資訊,請參閱 [在您的資料保護政策中使用自訂資料識別符](CWL-custom-data-identifiers.md#using-custom-data-identifiers)。
```
{
"Name": "data-protection-policy",
"Description": "test description",
"Version": "2021-06-01",
"Statement": [{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
},
"Firehose": {
"DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
},
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Deidentify": {
"MaskConfig": {}
}
}
}
]
}
```