稽核問題清單報告 - Amazon CloudWatch Logs
將稽核問題清單傳送至受 保護的 儲存貯體所需的金鑰政策 AWS KMS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

稽核問題清單報告

如果您設定 CloudWatch Logs 資料保護稽核政策,將稽核報告寫入 CloudWatch Logs、Amazon S3 或 Firehose,這些調查結果報告類似下列範例。CloudWatch Logs 會針對每個包含敏感資料的日誌事件寫入一份問題清單報告。

{
    "auditTimestamp": "2023-01-23T21:11:20Z",
    "resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*",
    "dataIdentifiers": [
        {
            "name": "EmailAddress",
            "count": 2,
            "detections": [
                {
                    "start": 13,
                    "end": 26
                },
{
                    "start": 30,
                    "end": 43
                }
            ]
        }
    ]
}

報告中的欄位如下所示:

  • resourceArn 欄位會顯示在其中找到敏感資料的日誌群組。

  • dataIdentifiers 物件會顯示您正在稽核的某種敏感資料的問題清單相關資訊。

  • name 欄位可識別此區段所報告的敏感資料類型。

  • count 欄位會顯示此種敏感資料在日誌事件中出現的次數。

  • startend 欄位會依字元計數顯示日誌事件中每次出現敏感資料的位置。

上一個範例顯示在一個日誌事件中尋找兩個電子郵件地址的報告。第一個電子郵件地址從日誌事件的第 13 個字元開始,並在第 26 個字元處結束。第二個電子郵件地址從第 30 個字元一直到第 43 個字元。即使此日誌事件有兩個電子郵件地址,LogEventsWithFindings 指標的值也只會遞增 1,因為該指標會對包含敏感資料的日誌事件計數,而非計算敏感資料的出現次數。

將稽核問題清單傳送至受 保護的 儲存貯體所需的金鑰政策 AWS KMS

透過啟用採用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密或採用 KMS 金鑰 (SSE-KMS) 的伺服器端加密,您可以保護 Amazon S3 儲存貯體中的資料。如需詳細資訊,請參閱《Amazon S3 使用者指南》中的使用伺服器端加密保護資料

如果您將稽核調查結果發送至以 SSE-S3 保護的儲存貯體,則不需要其他組態。Amazon S3 會處理加密金鑰。

如果您將稽核調查結果發送至以 SSE-KMS 保護的儲存貯體,您必須更新 KMS 金鑰的金鑰政策,讓日誌傳遞帳戶能夠寫入您的 S3 儲存貯體。如需使用 SSE-KMS 所需之金鑰政策的詳細資訊,請參閱《Amazon CloudWatch Logs 使用者指南》中的 Amazon S3