建立單一日誌群組的資料保護政策 - Amazon CloudWatch Logs
主控台AWS CLI

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立單一日誌群組的資料保護政策

您可以使用 CloudWatch Logs 主控台或 AWS CLI 命令建立資料保護政策來遮罩敏感資料。

您可以為每個日誌群組指派一個資料保護政策。每個資料保護政策都可以稽核多種類型的資訊。每個資料保護政策都可以包含一份稽核聲明。

主控台

若要使用主控台建立資料保護政策

  1. 透過 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 在導覽窗格中依序選擇 Logs (日誌)、Log groups (日誌群組)。

  3. 選擇日誌群組的名稱。

  4. 選擇 Actions (動作)、Create data protection policy (建立資料保護政策)。

  5. 針對受管資料識別符,選取您要在此日誌群組中稽核和遮罩的資料類型。您可以在選取方塊中輸入內容以尋找所需的識別符。

    我們建議您只選取與日誌資料和業務相關的資料識別符。選擇的資料類型過多可能會導致誤報。

    如需您可以使用受管資料識別符保護哪些資料類型的詳細資訊,請參閱 您可以保護的資料類型

  6. (選用) 如果您想要使用自訂資料識別符稽核和遮罩其他類型的資料,請選擇新增自訂資料識別符。然後輸入資料類型的名稱,以及用來在日誌事件中搜尋該資料類型的規則表達式。如需詳細資訊,請參閱自訂資料識別符

    單一資料保護政策最多可包含 10 個自訂資料識別符。每個定義自訂資料識別符的規則表達式都必須為 200 個字元或更少。

  7. (選用) 選擇向其傳送稽核問題清單的一或多個服務。即使您選擇不將稽核問題清單傳送至任何這些服務,系統仍然會遮罩您選取的敏感資料類型。

  8. 選擇 Activate data protection (啟動資料保護)。

AWS CLI

使用 AWS CLI 建立資料保護政策

  1. 使用文字編輯器來建立名為 DataProtectionPolicy.json 的政策檔案。如需有關政策語法的資訊,請參閱下一節。

  2. 輸入以下命令:

    aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2

AWS CLI 或 API 操作的資料保護政策語法

當您建立要在 AWS CLI 命令或 API 操作中使用的 JSON 資料保護政策時,該政策必須包含兩個 JSON 區塊:

  • 第一個區塊必須同時包含 DataIdentifer 陣列和具有 Audit 動作的 Operation 屬性。DataIdentifer 陣列會列出您要遮罩的敏感資料類型。如需所有可用選項的詳細資訊,請參閱您可以保護的資料類型

    具有 Audit 動作的 Operation 屬性為必要項目,如此才能找到敏感資料術語。此 Audit 動作必須包含 FindingsDestination 物件。您可以選擇使用此 FindingsDestination 物件,來列出要向其傳送稽核問題清單報告的一或多個目的地。如果您指定目標,例如日誌群組、Amazon Data Firehose 串流和 S3 儲存貯體,它們必須已經存在。如需稽核問題清單報告的範例,請參閱 稽核問題清單報告

  • 第二個區塊必須同時包含 DataIdentifer 陣列和具有 Deidentify 動作的 Operation 屬性。DataIdentifer 陣列必須與政策第一個區塊中的 DataIdentifer 陣列完全一致。

    具有 Deidentify 動作的 Operation 屬性用於實際遮罩資料,其必須包含 "MaskConfig": {} 物件。 "MaskConfig": {} 物件必須是空的。

以下是遮罩電子郵件地址和美國駕照的資料保護政策範例。

{
    "Name": "data-protection-policy",
    "Description": "test description",
    "Version": "2021-06-01",
    "Statement": [{
            "Sid": "audit-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Audit": {
                    "FindingsDestination": {
                        "CloudWatchLogs": {
                            "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
                        },
                        "Firehose": {
                            "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
                        },
                        "S3": {
                            "Bucket": "EXISTING_BUCKET"
                        }
                    }
                }
            }
        },
        {
            "Sid": "redact-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Deidentify": {
                    "MaskConfig": {}
                }
            }
        }
    ]
}