Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Bekerja dengan grup log dan aliran log
Pengaliran log adalah urutan log acara yang berbagi sumber yang sama. Setiap sumber log yang terpisah di CloudWatch Log membentuk aliran log terpisah.
Grup log adalah grup log stream yang memiliki pengaturan retensi, pemantauan, dan kontrol akses yang sama. Anda dapat menentukan grup log dan menentukan log stream untuk dimasukkan ke dalam setiap grup. Tidak ada batas jumlah log stream yang dapat tergabung dalam satu grup log.
Untuk organisasi yang perlu mengkonsolidasikan data log dari beberapa akun dan wilayah, Anda dapat menggunakan Sentralisasi CloudWatch Log untuk secara otomatis mereplikasi grup log ke akun pusat. Untuk informasi selengkapnya, lihat [Sentralisasi log lintas wilayah lintas akun](CloudWatchLogs_Centralization.md).
Anda dapat menggunakan prosedur di bagian ini untuk bekerja dengan grup log dan aliran log.
## Buat grup log di CloudWatch Log
Saat Anda menginstal agen CloudWatch Log di instans Amazon EC2 menggunakan langkah-langkah di bagian sebelumnya dari Panduan Pengguna Amazon CloudWatch Logs, grup log dibuat sebagai bagian dari proses tersebut. Anda juga dapat membuat grup log langsung di CloudWatch konsol.
**Untuk membuat grup log**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi, pilih **Manajemen Log**.
1. Pilih **Actions** (Tindakan), lalu pilih **Create log group** (Buat grup log).
1. Masukkan nama untuk grup log, lalu pilih **Create log group** (Buat grup log).
**Tip**
Anda dapat grup log favorit, serta dasbor dan alarm, dari menu ***Favorit dan terbaru di*** panel navigasi. Di bawah kolom ***Baru dikunjungi***, arahkan kursor ke grup log yang ingin Anda sukai, dan pilih simbol bintang di sebelahnya.
## Mengirim log ke grup log
CloudWatch Log secara otomatis menerima peristiwa log dari beberapa AWS layanan. Anda juga dapat mengirim peristiwa log lainnya ke CloudWatch Log menggunakan salah satu metode berikut:
+ **CloudWatch agen — CloudWatch Agen** terpadu dapat mengirim metrik dan log ke CloudWatch Log. *Untuk informasi tentang menginstal dan menggunakan CloudWatch agen, lihat [Mengumpulkan Metrik dan Log dari Instans Amazon EC2 dan Server Lokal dengan CloudWatch Agen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) di Panduan Pengguna Amazon. CloudWatch *
+ **AWS CLI[put-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/put-log-events.html)**—Mengunggah kumpulan peristiwa log ke Log. CloudWatch
+ **Secara terprogram - [PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html)API memungkinkan Anda untuk mengunggah batch peristiwa log secara terprogram ke Log**. CloudWatch
## Lihat data log yang dikirim ke CloudWatch Log
Anda dapat melihat dan menggulir data log stream-by-stream berdasarkan yang dikirim ke CloudWatch Log oleh agen CloudWatch Log. Anda dapat menentukan rentang waktu untuk data log yang akan dilihat.
**Untuk melihat data log**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi, pilih **Manajemen Log**.
1. Untuk **Log Groups** (Grup Log), pilih grup log untuk melihat pengaliran.
1. Dalam daftar grup log, pilih nama grup log yang ingin Anda lihat.
1. Dalam daftar pengaliran log, pilih nama pengaliran log yang ingin Anda lihat.
1. Untuk mengubah cara data log ditampilkan, lakukan salah satu hal berikut:
+ Untuk memperluas satu log acara, pilih tanda panah di samping log acara tersebut.
+ Untuk memperluas semua log acara dan melihatnya sebagai teks biasa, di atas daftar log acara, pilih **Text** (Teks).
+ Untuk memfilter log acara, masukkan filter pencarian yang diinginkan di kolom pencarian. Untuk informasi selengkapnya, lihat [Membuat metrik dari peristiwa log dengan menggunakan filter](MonitoringLogData.md).
+ Untuk melihat data log untuk tanggal dan rentang waktu yang ditentukan, di samping filter pencarian, pilih tanda panah di samping tanggal dan waktu. Untuk menentukan rentang tanggal dan waktu, pilih **Absolute** (Absolut). Untuk memilih jumlah menit, jam, hari, atau minggu yang telah ditentukan, pilih **Relative** (Relatif). Anda juga dapat beralih antara UTC dan zona waktu lokal.
# Cari data log menggunakan pola filter
Anda dapat mencari data log Anda menggunakan [Filter sintaks pola untuk filter metrik, filter langganan, peristiwa log filter, dan Live Tail](FilterAndPatternSyntax.md). Anda dapat mencari semua aliran log dalam grup log, atau dengan menggunakan AWS CLI Anda juga dapat mencari aliran log tertentu. Saat pencarian berjalan, akan dihasilkan halaman pertama data yang ditemukan dan token untuk mengambil halaman berikutnya dari data atau untuk melanjutkan pencarian. Jika tidak ada hasil yang dikembalikan, Anda dapat melanjutkan pencarian.
Anda dapat mengatur rentang waktu yang ingin Anda kuerikan untuk membatasi cakupan pencarian Anda. Anda bisa mulai dengan rentang yang lebih besar untuk melihat tempat garis log yang Anda inginkan, dan kemudian mempersingkat rentang waktu untuk membuat cakupan tampilan log dalam rentang waktu yang Anda inginkan.
Anda juga dapat beralih langsung dari metrik yang diekstraksi log ke log yang sesuai.
Jika Anda masuk ke akun yang disiapkan sebagai akun pemantauan dalam pengamatan CloudWatch lintas akun, Anda dapat mencari dan memfilter peristiwa log dari akun sumber yang ditautkan ke akun pemantauan ini. Untuk informasi lebih lanjut, lihat [CloudWatch observabilitas lintas akun](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html).
## Cari entri log menggunakan konsol
Anda dapat mencari entri log yang memenuhi kriteria tertentu menggunakan konsol.
**Untuk mencari log menggunakan konsol**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi, pilih **Manajemen Log**.
1. Untuk **Grup Log**, pilih nama grup log yang berisi log stream yang akan dicari.
1. Untuk **Log Stream**, pilih nama log stream yang akan dicari.
1. Di bawah **Log events** (Log acara), masukkan sintaks filter yang akan digunakan.
**Untuk mencari semua entri log untuk rentang waktu menggunakan konsol**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi, pilih **Manajemen Log**.
1. Untuk **Log Groups** (Grup Log), pilih nama grup log yang berisi pengaliran log yang akan dicari.
1. Pilih **Search log group** (Cari grup log).
1. Untuk **Log events** (Log acara), pilih tanggal dan rentang waktu, dan masukkan sintaks filter.
## Cari entri log menggunakan AWS CLI
Anda dapat mencari entri log yang memenuhi kriteria tertentu menggunakan. AWS CLI
**Untuk mencari entri log menggunakan AWS CLI**
Pada prompt perintah, jalankan [filter-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/filter-log-events.html)perintah berikut. Gunakan `--filter-pattern` untuk membatasi hasil ke pola filter yang ditentukan dan `--log-stream-names` untuk membatasi hasil ke pengaliran log tertentu.
```
aws logs filter-log-events --log-group-name my-group [--log-stream-names LIST_OF_STREAMS_TO_SEARCH] [--filter-pattern VALID_METRIC_FILTER_PATTERN]
```
**Untuk mencari entri log selama rentang waktu tertentu menggunakan AWS CLI**
Pada prompt perintah, jalankan [filter-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/filter-log-events.html)perintah berikut:
```
aws logs filter-log-events --log-group-name my-group [--log-stream-names LIST_OF_STREAMS_TO_SEARCH] [--start-time 1482197400000] [--end-time 1482217558365] [--filter-pattern VALID_METRIC_FILTER_PATTERN]
```
## Pivot dari metrik ke log
Anda bisa beralih ke entri log tertentu dari bagian lain dari konsol.
**Untuk beralih dari widget dasbor ke log**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Pada panel navigasi, silakan pilih **Dasbor**.
1. Pilih dasbor.
1. Di widget, pilih ikon **View logs** (Lihat log), lalu pilih **View logs in this time range** (Lihat log dalam rentang waktu ini). Jika terdapat lebih dari satu filter metrik, pilih salah satu dari daftar. Jika ada lebih banyak filter metrik dari yang dapat kita tampilkan dalam daftar, pilih **More metric filters** (Lebih banyak filter metrik) dan pilih atau cari filter metrik.
**Untuk beralih dari metrik ke log**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Pada panel navigasi, silakan pilih **Metrik**.
1. Di bidang pencarian di tab **All metrics**, ketik nama metrik dan tekan Enter.
1. Pilih satu atau beberapa metrik dari hasil pencarian Anda.
1. Pilih **Actions** (Tindakan), **View logs** (Lihat log). Jika terdapat lebih dari satu filter metrik, pilih salah satu dari daftar. Jika ada lebih banyak filter metrik dari yang dapat kita tampilkan dalam daftar, pilih **More metric filters** (Lebih banyak filter metrik) dan pilih atau cari filter metrik.
## Pemecahan masalah
**Pencarian membutuhkan waktu terlalu lama untuk diselesaikan**
Jika Anda memiliki banyak data log, pencarian mungkin memerlukan waktu lama untuk diselesaikan. Untuk mempercepat pencarian, Anda dapat melakukan hal berikut:
+ Jika Anda menggunakan AWS CLI, Anda dapat membatasi pencarian hanya pada aliran log yang Anda minati. Misalnya, jika grup log Anda memiliki 1000 aliran log, tetapi Anda hanya ingin melihat tiga aliran log yang Anda tahu relevan, Anda dapat menggunakan AWS CLI untuk membatasi pencarian Anda hanya pada tiga aliran log dalam grup log.
+ Gunakan rentang waktu yang lebih pendek dan lebih terperinci, yang mengurangi jumlah data yang akan dicari dan mempercepat kueri.
## Ubah penyimpanan data log di CloudWatch Log
Secara default, data log disimpan di CloudWatch Log tanpa batas waktu. Namun, Anda dapat mengonfigurasi berapa lama data log disimpan dalam grup log. Data apa pun yang lebih lama dari pengaturan retensi saat ini akan dihapus. Anda dapat mengubah retensi log untuk setiap grup log kapan saja.
**catatan**
CloudWatch Logs tidak segera menghapus peristiwa log ketika mereka mencapai pengaturan retensi mereka. Biasanya memakan waktu hingga 72 jam setelah itu sebelum peristiwa log dihapus, tetapi dalam situasi yang jarang terjadi mungkin memakan waktu lebih lama.
Ini berarti bahwa jika Anda mengubah grup log untuk memiliki pengaturan retensi yang lebih lama ketika berisi peristiwa log yang melewati tanggal kedaluwarsa, tetapi belum benar-benar dihapus, peristiwa log tersebut akan memakan waktu hingga 72 jam untuk dihapus setelah tanggal penyimpanan baru tercapai. Untuk memastikan bahwa data log dihapus secara permanen, simpan grup log pada pengaturan retensi yang lebih rendah hingga 72 jam berlalu setelah akhir periode penyimpanan sebelumnya, atau Anda telah mengonfirmasi bahwa peristiwa log lama akan dihapus.
Ketika peristiwa log mencapai pengaturan retensi mereka, mereka ditandai untuk dihapus. Setelah ditandai untuk dihapus, mereka tidak menambah biaya penyimpanan arsip Anda lagi, bahkan jika mereka tidak benar-benar dihapus sampai nanti. Peristiwa log yang ditandai untuk dihapus ini juga tidak disertakan saat Anda menggunakan API untuk mengambil `storedBytes` nilai guna melihat berapa banyak byte yang disimpan grup log.
**Untuk mengubah pengaturan retensi log**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi, pilih **Log**, **Grup log**.
1. Temukan grup log yang akan diperbarui.
1. Di kolom **Retensi** untuk grup log tersebut, pilih pengaturan retensi saat ini, seperti **Jangan Pernah Kedaluwarsa**.
1. Di **Setelan retensi**, untuk **peristiwa kedaluwarsa setelahnya**, pilih nilai retensi log, lalu pilih **Simpan**.
## Melindungi grup log dari penghapusan
Anda dapat mengaktifkan perlindungan penghapusan secara opsional untuk mencegah penghapusan grup log penting secara tidak sengaja. Untuk informasi rinci tentang perlindungan penghapusan, lihat. [Melindungi grup log dari penghapusan](protecting-log-groups-from-deletion.md)
# Melindungi grup log dari penghapusan
## Mengaktifkan perlindungan penghapusan
Anda dapat mengaktifkan perlindungan penghapusan saat membuat grup log baru atau pada grup log yang ada. Selama pembuatan grup log, pilih “Perlindungan penghapusan yang diaktifkan” atau dengan meneruskan parameter. `--deletion-protection-enabled` Secara default, perlindungan penghapusan tidak diaktifkan.
**Untuk mengaktifkan atau menonaktifkan perlindungan penghapusan pada grup log yang ada (konsol)**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi, pilih **Manajemen Log**.
1. Pilih grup log yang ingin Anda lindungi.
1. Pilih **Tindakan**, **Edit perlindungan penghapusan.**
1. Di kotak dialog, tinjau lalu kirimkan perubahan.
Jika menggunakan AWS CLI, untuk mengaktifkan perlindungan penghapusan pada grup log yang ada:
```
aws logs put-log-group-deletion-protection \
--log-group-identifier "/my-application/logs" \
--deletion-protection-enabled
```
Untuk menghapus perlindungan penghapusan pada grup log yang ada:
```
aws logs put-log-group-deletion-protection \
--log-group-identifier "/my-application/logs" \
--no-deletion-protection-enabled
```
### Penanganan kesalahan
Jika Anda mencoba menghapus grup log dengan perlindungan penghapusan diaktifkan, Anda menerima pesan `ValidationException` dengan: “Tidak dapat menghapus grup log dengan perlindungan penghapusan diaktifkan. Nonaktifkan perlindungan penghapusan terlebih dahulu.”
## Tandai grup log di Amazon CloudWatch Logs
*Anda dapat menetapkan metadata Anda sendiri ke grup log yang Anda buat di Amazon CloudWatch Logs dalam bentuk tag.* Tanda adalah pasangan nilai-kunci yang Anda tetapkan untuk grup log. Menggunakan tag adalah cara sederhana namun ampuh untuk mengelola AWS sumber daya dan mengatur data, termasuk data penagihan.
**catatan**
Anda dapat menggunakan tag untuk mengontrol akses ke sumber CloudWatch Log, termasuk grup log dan tujuan. Akses ke aliran log dikontrol pada tingkat grup log, karena hubungan hierarkis antara grup log dan aliran log. Untuk informasi selengkapnya tentang penggunaan tanda untuk mengendalikan akses, lihat [Mengendalikan akses ke sumber daya Amazon Web Services menggunakan tanda](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
**Topics**
+ [Dasar-dasar tag](#tagging-basics)
+ [Melacak biaya menggunakan penandaan](#tagging-billing)
+ [Pembatasan tag](#tagging-restrictions)
+ [Menandai grup log menggunakan AWS CLI](#log-group-tagging-cli)
+ [Menandai grup log menggunakan API CloudWatch Log](#log-group-tagging-api)
### Dasar-dasar tag
Anda menggunakan AWS CloudFormation AWS CLI, atau CloudWatch Logs API untuk menyelesaikan tugas-tugas berikut:
+ Menambahkan tanda ke grup log saat Anda membuatnya.
+ Menambahkan tanda ke grup log yang sudah ada.
+ Mendaftar tanda untuk grup log.
+ Menghapus tanda dari grup log.
Anda dapat menggunakan tanda untuk mengategorikan grup log Anda. Misalnya, Anda dapat mengategorikannya berdasarkan tujuan, pemilik, atau lingkungan. Karena Anda menentukan kunci dan nilai untuk setiap tanda, Anda dapat membuat serangkaian kategori khusus untuk memenuhi kebutuhan spesifik Anda. Misalnya, Anda dapat menentukan satu set tanda yang membantu Anda melacak grup log berdasarkan pemilik dan aplikasi terkait. Berikut adalah beberapa contoh tanda:
+ Proyek: Nama proyek
+ Pemilik: Nama
+ Tujuan: Pengujian beban
+ Aplikasi: Nama aplikasi
+ Lingkungan: Produksi
### Melacak biaya menggunakan penandaan
Anda dapat menggunakan tag untuk mengkategorikan dan melacak biaya Anda AWS . Saat Anda menerapkan tag ke AWS sumber daya Anda, termasuk grup log, laporan alokasi AWS biaya Anda mencakup penggunaan dan biaya yang dikumpulkan berdasarkan tag. Anda dapat menerapkan tag yang mewakili kategori bisnis (seperti pusat biaya, nama aplikasi, atau pemilik) untuk mengatur biaya Anda di berbagai layanan. Untuk informasi selengkapnya, lihat [Menggunakan Tanda Alokasi Biaya untuk Laporan Penagihan Khusus](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dalam *Panduan Pengguna AWS Billing *.
### Pembatasan tag
Batasan berikut berlaku untuk tanda.
**Batasan dasar**
+ Jumlah maksimum tanda per grup log adalah 50.
+ Kunci dan nilai tag peka huruf besar dan kecil.
+ Anda tidak dapat mengubah atau mengedit tanda untuk grup log yang dihapus.
**Batasan kunci tanda**
+ Setiap kunci tanda harus unik. Jika Anda menambahkan tanda dengan kunci yang sudah digunakan, tanda baru akan menimpa pasangan nilai-kunci yang sudah ada.
+ Anda tidak dapat memulai kunci tag `aws:` karena awalan ini dicadangkan untuk digunakan oleh AWS. AWS membuat tag yang dimulai dengan awalan ini atas nama Anda, tetapi Anda tidak dapat mengedit atau menghapusnya.
+ Kunci tanda harus memiliki panjang antara 1 dan 128 karakter Unicode.
+ Kunci tanda harus terdiri dari karakter berikut: huruf Unicode, digit, spasi, dan karakter khusus berikut: `_ . / = + - @`.
**Batasan nilai tanda**
+ Panjang nilai tanda harus antara 0 dan 255 karakter Unicode.
+ Nilai tanda dapat kosong. Jika tidak, nilai tanda harus terdiri dari karakter berikut: huruf Unicode, digit, spasi, dan salah satu karakter khusus berikut: `_ . / = + - @`.
### Menandai grup log menggunakan AWS CLI
Anda dapat menambahkan, mendaftar, dan menghapus tanda menggunakan AWS CLI. Untuk contoh, lihat dokumentasi berikut:
[create-log-group](https://docs.aws.amazon.com/cli/latest/reference/logs/create-log-group.html)
Membuat grup log. Anda dapat secara opsional menambahkan tanda ketika membuat grup log.
[tag-sumber daya](https://docs.aws.amazon.com/cli/latest/reference/logs/tag-resource.html)
Menetapkan satu atau beberapa tag (pasangan kunci-nilai) ke sumber daya Log yang ditentukan CloudWatch .
[list-tags-for-resource](https://docs.aws.amazon.com/cli/latest/reference/logs/list-tags-for-resource.html)
Menampilkan tag yang terkait dengan sumber daya CloudWatch Log.
[untag-sumber daya](https://docs.aws.amazon.com/cli/latest/reference/logs/untag-log-group.html)
Menghapus satu atau beberapa tag dari sumber CloudWatch Log yang ditentukan.
### Menandai grup log menggunakan API CloudWatch Log
Anda dapat menambahkan, membuat daftar, dan menghapus tag menggunakan API CloudWatch Log. Untuk contoh, lihat dokumentasi berikut:
[CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)
Membuat grup log. Anda dapat secara opsional menambahkan tanda ketika membuat grup log.
[TagResource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_TagResource.html)
Menetapkan satu atau beberapa tag (pasangan kunci-nilai) ke sumber daya Log yang ditentukan CloudWatch .
[ListTagsForResource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_ListTagsForResource.html)
Menampilkan tag yang terkait dengan sumber daya CloudWatch Log.
[UntagResource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_UntagLogGroup.html)
Menghapus satu atau beberapa tag dari sumber CloudWatch Log yang ditentukan.
# Enkripsi data log di CloudWatch Log menggunakan AWS Key Management Service
Data grup log selalu dienkripsi di CloudWatch Log. Secara default, CloudWatch Log menggunakan enkripsi sisi server dengan Advanced Encryption Standard Galois/Counter Mode (AES-GCM) 256-bit untuk mengenkripsi data log saat istirahat. Sebagai alternatif, Anda dapat menggunakan AWS Key Management Service enkripsi ini. Jika Anda melakukannya, enkripsi dilakukan dengan menggunakan AWS KMS kunci. Penggunaan enkripsi AWS KMS diaktifkan pada tingkat grup log, dengan mengaitkan kunci KMS dengan grup log, baik saat Anda membuat grup log atau setelah ada.
**penting**
CloudWatch Log sekarang mendukung konteks enkripsi, menggunakan `kms:EncryptionContext:aws:logs:arn` sebagai kunci dan ARN dari grup log sebagai nilai untuk kunci itu. Jika Anda memiliki grup log yang telah dienkripsi dengan kunci KMS, dan Anda ingin membatasi kunci yang akan digunakan dengan satu akun dan grup log, Anda harus menetapkan kunci KMS baru yang menyertakan kondisi dalam kebijakan IAM. Untuk informasi selengkapnya, lihat [AWS KMS kunci dan konteks enkripsi](#encrypt-log-data-kms-policy).
**penting**
CloudWatch Log sekarang mendukung `kms:ViaService` yang memungkinkan log untuk melakukan AWS KMS panggilan atas nama Anda. Anda harus menambahkan ini ke peran Anda yang memanggil CloudWatch Log baik dalam Kebijakan Kunci Anda atau di IAM. Untuk informasi lebih lanjut, lihat [kms: ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service).
Setelah Anda mengaitkan kunci KMS dengan grup log, semua data yang baru dicerna untuk grup log dienkripsi menggunakan kunci ini. Data ini disimpan dalam format terenkripsi selama periode retensi. CloudWatch Log mendekripsi data ini setiap kali diminta. CloudWatch Log harus memiliki izin untuk kunci KMS setiap kali data terenkripsi diminta.
Jika Anda kemudian memisahkan kunci KMS dari grup CloudWatch log, Log mengenkripsi data yang baru dicerna menggunakan metode enkripsi default Log. CloudWatch Semua data yang dicerna sebelumnya yang dienkripsi dengan kunci KMS tetap dienkripsi dengan kunci KMS. CloudWatch Log masih dapat mengembalikan data tersebut setelah kunci KMS dipisahkan, karena CloudWatch Log masih dapat terus mereferensikan kunci tersebut. Namun, jika kunci kemudian dinonaktifkan, maka CloudWatch Log tidak dapat membaca log yang dienkripsi dengan kunci itu.
**penting**
CloudWatch Log hanya mendukung kunci KMS simetris. Jangan gunakan kunci asimetris untuk mengenkripsi data dalam grup log Anda. Untuk informasi selengkapnya, lihat [Menggunakan Kunci Simetris dan Asimetris](https://docs.aws.amazon.com/kms/latest/developerguide/symmetric-asymmetric.html).
## Batas
+ Untuk melakukan langkah-langkah berikut, Anda harus memiliki izin berikut: `kms:CreateKey`, `kms:GetKeyPolicy`, dan `kms:PutKeyPolicy`.
+ Setelah Anda mengaitkan atau memisahkan kunci dari grup log, diperlukan waktu hingga lima menit agar operasi diterapkan.
+ Jika Anda mencabut akses CloudWatch Log ke kunci terkait atau menghapus kunci KMS terkait, data terenkripsi Anda di CloudWatch Log tidak dapat diambil lagi.
+ Anda tidak dapat mengaitkan kunci KMS dengan grup log yang ada menggunakan CloudWatch konsol.
## Langkah 1: Buat AWS KMS kunci
Untuk membuat kunci KMS, gunakan perintah [create-key](https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html) berikut:
```
aws kms create-key
```
Output berisi ID kunci dan Amazon Resource Name (ARN) dari kunci. Berikut ini adalah output contoh:
```
{
"KeyMetadata": {
"Origin": "AWS_KMS",
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"Description": "",
"KeyManager": "CUSTOMER",
"Enabled": true,
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"CreationDate": 1478910250.94,
"Arn": "arn:aws:kms:us-west-2:123456789012:key/6f815f63-e628-448c-8251-e40cb0d29f59",
"AWSAccountId": "123456789012",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
}
}
```
## Langkah 2: Tetapkan izin pada tombol KMS
Secara default, semua AWS KMS kunci bersifat pribadi. Hanya pemilik sumber daya yang dapat menggunakannya untuk mengenkripsi dan mendekripsi data. Namun, pemilik sumber daya dapat memberikan izin untuk mengakses kunci KMS ke pengguna dan sumber daya lain. Dengan langkah ini, Anda memberikan izin utama layanan CloudWatch Log dan peran pemanggil untuk menggunakan kunci. Prinsipal layanan ini harus berada di AWS Wilayah yang sama di mana kunci KMS disimpan.
Sebagai praktik terbaik, kami menyarankan Anda membatasi penggunaan kunci KMS hanya untuk AWS akun atau grup log yang Anda tentukan.
Pertama, simpan kebijakan default untuk kunci KMS Anda seperti `policy.json` menggunakan [get-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html)perintah berikut:
```
aws kms get-key-policy --key-id key-id --policy-name default --output text > ./policy.json
```
Buka file `policy.json` di editor teks dan tambahkan bagian dalam huruf tebal dari salah satu pernyataan berikut. Pisahkan pernyataan yang ada dari pernyataan baru dengan koma. Pernyataan ini menggunakan `Condition` bagian untuk meningkatkan keamanan AWS KMS kunci. Untuk informasi selengkapnya, lihat [AWS KMS kunci dan konteks enkripsi](#encrypt-log-data-kms-policy).
Bagian `Condition` dalam contoh ini membatasi kunci pada satu ARN grup log.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:111122223333:log-group:log-group-name"
}
}
}
]
}
```
------
Bagian `Condition` dalam contoh ini membatasi penggunaan kunci AWS KMS pada akun tertentu, tetapi dapat digunakan untuk grup log apa pun.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
}
]
}
```
------
Selanjutnya, tambahkan izin ke peran yang akan memanggil CloudWatch Log. Anda dapat melakukan ini dengan menambahkan pernyataan tambahan ke Kebijakan AWS KMS Utama atau melalui IAM pada peran itu sendiri. CloudWatch Log digunakan `kms:ViaService` untuk melakukan panggilan ke AWS KMS atas nama pelanggan. Untuk informasi lebih lanjut, lihat [kms: ViaService](https://docs.aws.amazon.com/kms/latest/developerguide/conditions-kms.html#conditions-kms-via-service).
Untuk menambahkan izin dalam Kebijakan AWS KMS Utama, tambahkan pernyataan tambahan berikut ke kebijakan utama Anda. Jika Anda menggunakan metode ini, sebagai praktik terbaik, cakupkan kebijakan hanya ke peran yang akan berinteraksi dengan grup log AWS KMS terenkripsi.
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account_id:role/role_name"
},
"Action": [
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"logs.region.amazonaws.com"
]
}
}
}
```
Atau jika Anda ingin mengelola izin peran di IAM, Anda dapat menambahkan izin yang setara melalui kebijakan berikut. Ini dapat ditambahkan ke kebijakan peran yang ada atau dilampirkan ke peran sebagai kebijakan terpisah tambahan. Jika Anda menggunakan metode ini, sebagai praktik terbaik, lingkup kebijakan hanya untuk AWS KMS kunci yang akan digunakan untuk enkripsi log. Untuk informasi selengkapnya, lihat [Mengedit kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:ReEncrypt*",
"kms:Decrypt",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"logs.us-east-1.amazonaws.com"
]
}
},
"Resource": "arn:aws:kms:us-east-1:444455556666:key/key_id"
}
]
}
```
------
Terakhir, tambahkan kebijakan yang diperbarui menggunakan [put-key-policy](https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html)perintah berikut:
```
aws kms put-key-policy --key-id key-id --policy-name default --policy file://policy.json
```
## Langkah 3: Kaitkan kunci KMS dengan grup log
Anda dapat mengaitkan kunci KMS dengan grup log saat Anda membuatnya atau setelah itu ada.
Untuk mengetahui apakah grup log sudah memiliki kunci KMS yang terkait, gunakan [describe-log-groups](https://docs.aws.amazon.com/cli/latest/reference/logs/describe-log-groups.html)perintah berikut:
```
aws logs describe-log-groups --log-group-name-prefix "log-group-name-prefix"
```
Jika outputnya mencakup bidang `kmsKeyId`, grup log terkait dengan kunci yang ditampilkan untuk nilai bidang tersebut.
**Untuk mengaitkan kunci KMS dengan grup log saat Anda membuatnya**
Gunakan [create-log-group](https://docs.aws.amazon.com/cli/latest/reference/logs/create-log-group.html)perintah sebagai berikut:
```
aws logs create-log-group --log-group-name my-log-group --kms-key-id "key-arn"
```
**Untuk mengaitkan kunci KMS dengan grup log yang ada**
Gunakan [associate-kms-key](https://docs.aws.amazon.com/cli/latest/reference/logs/associate-kms-key.html)perintah sebagai berikut:
```
aws logs associate-kms-key --log-group-name my-log-group --kms-key-id "key-arn"
```
## Langkah 4: Pisahkan kunci dari grup log
Untuk memisahkan kunci KMS yang terkait dengan grup log, gunakan perintah berikut: [disassociate-kms-key](https://docs.aws.amazon.com/cli/latest/reference/logs/disassociate-kms-key.html)
```
aws logs disassociate-kms-key --log-group-name my-log-group
```
## AWS KMS kunci dan konteks enkripsi
Untuk meningkatkan keamanan AWS Key Management Service kunci Anda dan grup log terenkripsi Anda, CloudWatch Log sekarang menempatkan grup log ARNs sebagai bagian dari *konteks enkripsi* yang digunakan untuk mengenkripsi data log Anda. Konteks enkripsi adalah seperangkat pasangan nilai-kunci yang digunakan sebagai data terautentikasi tambahan. Konteks enkripsi memungkinkan Anda menggunakan kondisi kebijakan IAM untuk membatasi akses ke AWS KMS kunci Anda berdasarkan AWS akun dan grup log. Untuk informasi selengkapnya, lihat [Konteks enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) and [Elemen Kebijakan JSON IAM: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html).
Kami menyarankan Anda menggunakan kunci KMS yang berbeda untuk setiap grup log terenkripsi Anda.
Jika Anda memiliki grup log yang Anda enkripsi sebelumnya dan sekarang ingin mengubah grup log untuk menggunakan kunci KMS baru yang hanya berfungsi untuk grup log itu, ikuti langkah-langkah ini.
**Untuk mengonversi grup log terenkripsi untuk menggunakan kunci KMS dengan kebijakan yang membatasi grup log tersebut**
1. Masukkan perintah berikut untuk menemukan ARN dari kunci grup log saat ini:
```
aws logs describe-log-groups
```
Outputnya mencakup baris berikut. Perhatikan ARN. Anda perlu menggunakannya di langkah 7.
```
...
"kmsKeyId": "arn:aws:kms:us-west-2:123456789012:key/01234567-89ab-cdef-0123-456789abcdef"
...
```
1. Masukkan perintah berikut untuk membuat kunci KMS baru:
```
aws kms create-key
```
1. Masukkan perintah berikut untuk menyimpan kebijakan kunci baru ke file `policy.json`:
```
aws kms get-key-policy --key-id new-key-id --policy-name default --output text > ./policy.json
```
1. Gunakan editor teks untuk membuka `policy.json` dan menambahkan ekspresi `Condition` ke kebijakan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:111122223333:log-group:LOG-GROUP-NAME"
}
}
}
]
}
```
------
1. Masukkan perintah berikut untuk menambahkan kebijakan yang diperbarui ke kunci KMS baru:
```
aws kms put-key-policy --key-id new-key-ARN --policy-name default --policy file://policy.json
```
1. Masukkan perintah berikut untuk mengaitkan kebijakan dengan grup log Anda:
```
aws logs associate-kms-key --log-group-name my-log-group --kms-key-id new-key-ARN
```
CloudWatch Log sekarang mengenkripsi semua data baru menggunakan kunci baru.
1. Selanjutnya, cabut semua izin kecuali `Decrypt` dari kunci lama. Pertama, masukkan perintah berikut untuk mengambil kebijakan lama:
```
aws kms get-key-policy --key-id old-key-ARN --policy-name default --output text > ./policy.json
```
1. Gunakan editor teks untuk membuka `policy.json` dan hapus semua nilai dari daftar `Action`, kecuali untuk `kms:Decrypt`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.region.amazonaws.com"
},
"Action": [
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
1. Masukkan perintah berikut untuk menambahkan kebijakan yang diperbarui ke kunci lama:
```
aws kms put-key-policy --key-id old-key-ARN --policy-name default --policy file://policy.json
```
# Membantu melindungi data log sensitif dengan masking
*Anda dapat membantu melindungi data sensitif yang dicerna oleh CloudWatch Log dengan menggunakan kebijakan perlindungan data grup log.* Kebijakan ini memungkinkan Anda mengaudit dan menutupi data sensitif yang muncul di peristiwa log yang dicerna oleh grup log di akun Anda.
Saat Anda membuat kebijakan perlindungan data, maka secara default, data sensitif yang cocok dengan pengidentifikasi data yang Anda pilih akan disembunyikan di semua titik keluar, termasuk Wawasan CloudWatch Log, filter metrik, dan filter langganan. Hanya pengguna yang memiliki izin `logs:Unmask` IAM yang dapat melihat data yang dibuka kedoknya.
Anda dapat membuat kebijakan perlindungan data untuk semua grup log di akun Anda, dan Anda juga dapat membuat kebijakan perlindungan data untuk grup log individual. Saat Anda membuat kebijakan untuk seluruh akun, kebijakan tersebut berlaku untuk grup log dan grup log yang sudah ada yang dibuat di masa mendatang.
Jika Anda membuat kebijakan perlindungan data untuk seluruh akun Anda dan Anda juga membuat kebijakan untuk satu grup log, kedua kebijakan tersebut berlaku untuk grup log tersebut. Semua pengidentifikasi data terkelola yang ditentukan dalam salah satu kebijakan diaudit dan disamarkan dalam grup log tersebut.
**catatan**
Menyembunyikan data sensitif didukung untuk grup log di kelas log Akses Standar dan Jarang. Untuk informasi selengkapnya tentang kelas log, lihat[Kelas log](CloudWatch_Logs_Log_Classes.md).
Setiap grup log hanya dapat memiliki satu kebijakan perlindungan data tingkat grup log, tetapi kebijakan tersebut dapat menentukan banyak pengidentifikasi data terkelola untuk diaudit dan disembunyikan. Batas untuk kebijakan perlindungan data adalah 30.720 karakter.
**penting**
Data sensitif terdeteksi dan disamarkan saat tertelan ke dalam grup log. Saat Anda menetapkan kebijakan perlindungan data, peristiwa log yang dicerna ke grup log sebelum waktu tersebut tidak disamarkan.
CloudWatch Log mendukung banyak *pengidentifikasi data terkelola*, yang menawarkan tipe data yang telah dikonfigurasi sebelumnya yang dapat Anda pilih untuk melindungi data keuangan, informasi kesehatan pribadi (PHI), dan informasi identitas pribadi (PII). CloudWatch Perlindungan data log memungkinkan Anda memanfaatkan pencocokan pola dan model pembelajaran mesin untuk mendeteksi data sensitif. Untuk beberapa jenis pengidentifikasi data terkelola, deteksi tergantung pada juga menemukan kata kunci tertentu yang berdekatan dengan data sensitif. Anda juga dapat menggunakan pengidentifikasi data khusus untuk membuat pengidentifikasi data yang disesuaikan dengan kasus penggunaan spesifik Anda.
Metrik dipancarkan CloudWatch saat data sensitif terdeteksi yang cocok dengan pengidentifikasi data yang Anda pilih. Ini adalah **LogEventsWithFindings**metrik dan dipancarkan di ruang nama **AWS/log**. Anda dapat menggunakan metrik ini untuk membuat CloudWatch alarm, dan Anda dapat memvisualisasikannya dalam grafik dan dasbor. Metrik yang dipancarkan oleh perlindungan data adalah metrik yang dijual dan tidak dikenai biaya. Untuk informasi selengkapnya tentang metrik yang dikirimkan oleh CloudWatch Log CloudWatch, lihat[Pemantauan dengan CloudWatch metrik](CloudWatch-Logs-Monitoring-CloudWatch-Metrics.md).
Setiap pengidentifikasi data terkelola dirancang untuk mendeteksi jenis data sensitif tertentu, seperti nomor kartu kredit, kunci akses AWS rahasia, atau nomor paspor untuk negara atau wilayah tertentu. Saat membuat kebijakan perlindungan data, Anda dapat mengonfigurasinya untuk menggunakan pengidentifikasi ini untuk menganalisis log yang dicerna oleh grup log, dan mengambil tindakan saat terdeteksi.
CloudWatch Perlindungan data log dapat mendeteksi kategori data sensitif berikut dengan menggunakan pengidentifikasi data terkelola:
+ Kredensil, seperti kunci pribadi atau kunci akses AWS rahasia
+ Informasi keuangan, seperti nomor kartu kredit
+ Informasi Identifikasi Pribadi (PII) seperti SIM atau nomor jaminan sosial
+ Informasi Kesehatan yang Dilindungi (PHI) seperti asuransi kesehatan atau nomor identifikasi medis
+ Pengidentifikasi perangkat, seperti alamat IP atau alamat MAC
Untuk detail tentang jenis data yang dapat Anda lindungi, lihat[Jenis data yang dapat Anda lindungi](protect-sensitive-log-data-types.md).
**Contents**
+ [Memahami kebijakan perlindungan data](cloudwatch-logs-data-protection-policies.md)
+ [Apa itu kebijakan perlindungan data?](cloudwatch-logs-data-protection-policies.md#what-are-data-protection-policies)
+ [Bagaimana kebijakan perlindungan data terstruktur?](cloudwatch-logs-data-protection-policies.md#overview-of-data-protection-policies)
+ [Properti JSON untuk kebijakan perlindungan data](cloudwatch-logs-data-protection-policies.md#data-protection-policy-json-properties)
+ [Properti JSON untuk pernyataan kebijakan](cloudwatch-logs-data-protection-policies.md#policy-statement-json-properties)
+ [Properti JSON untuk operasi pernyataan kebijakan](cloudwatch-logs-data-protection-policies.md#statement-operation-json-properties)
+ [Izin IAM diperlukan untuk membuat atau bekerja dengan kebijakan perlindungan data](data-protection-policy-permissions.md)
+ [Izin diperlukan untuk kebijakan perlindungan data tingkat akun](data-protection-policy-permissions.md#data-protection-policy-permissions-accountlevel)
+ [Izin yang diperlukan untuk kebijakan perlindungan data untuk satu grup log](data-protection-policy-permissions.md#data-protection-policy-permissions-loggroup)
+ [Contoh kebijakan perlindungan data](data-protection-policy-permissions.md#data-protection-policy-sample)
+ [Buat kebijakan perlindungan data seluruh akun](mask-sensitive-log-data-accountlevel.md)
+ [Konsol](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-accountlevel-console)
+ [AWS CLI](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-accountlevel-cli)
+ [Sintaks kebijakan perlindungan data untuk AWS CLI atau operasi API](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-policysyntax-account)
+ [Membuat kebijakan perlindungan data untuk satu grup log](mask-sensitive-log-data-start.md)
+ [Konsol](mask-sensitive-log-data-start.md#mask-sensitive-log-data-start-console)
+ [AWS CLI](mask-sensitive-log-data-start.md#mask-sensitive-log-data-start-cli)
+ [Sintaks kebijakan perlindungan data untuk AWS CLI atau operasi API](mask-sensitive-log-data-start.md#mask-sensitive-log-data-policysyntax)
+ [Lihat data yang dibuka kedoknya](mask-sensitive-log-data-viewunmasked.md)
+ [Laporan temuan audit](mask-sensitive-log-data-audit-findings.md)
+ [Kebijakan kunci yang diperlukan untuk mengirim temuan audit ke ember yang dilindungi oleh AWS KMS](mask-sensitive-log-data-audit-findings.md#mask-sensitive-log-data-audit-findings-kms)
+ [Jenis data yang dapat Anda lindungi](protect-sensitive-log-data-types.md)
+ [CloudWatch Pengidentifikasi data terkelola log untuk tipe data sensitif](CWL-managed-data-identifiers.md)
+ [Kredensial](protect-sensitive-log-data-types-credentials.md)
+ [Pengidentifikasi data ARNs untuk tipe data kredensyal](protect-sensitive-log-data-types-credentials.md#cwl-data-protection-credentials-arns)
+ [Pengidentifikasi perangkat](protect-sensitive-log-data-types-device.md)
+ [Pengidentifikasi data ARNs untuk tipe data perangkat](protect-sensitive-log-data-types-device.md#cwl-data-protection-devices-arns)
+ [Informasi keuangan](protect-sensitive-log-data-types-financial.md)
+ [Pengidentifikasi data ARNs untuk tipe data keuangan](protect-sensitive-log-data-types-financial.md#cwl-data-protection-financial-arns)
+ [Informasi kesehatan yang dilindungi (PHI)](protect-sensitive-log-data-types-health.md)
+ [Pengidentifikasi data ARNs untuk tipe data informasi kesehatan yang dilindungi (PHI)](protect-sensitive-log-data-types-health.md#cwl-data-protection-phi-arns)
+ [Informasi Identifikasi Pribadi (PII)](protect-sensitive-log-data-types-pii.md)
+ [Kata kunci untuk nomor identifikasi surat izin mengemudi](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-dl-keywords)
+ [Kata kunci untuk nomor induk kependudukan](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-natlid-keywords)
+ [Kata kunci untuk nomor paspor](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-passport-keywords)
+ [Kata kunci untuk nomor pokok wajib pajak](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-financial-tin-keywords)
+ [Pengidentifikasi data ARNs untuk informasi identitas pribadi (PII)](protect-sensitive-log-data-types-pii.md#CWL-data-protection-pii-arns)
+ [Pengidentifikasi data khusus](CWL-custom-data-identifiers.md)
+ [Apa itu pengidentifikasi data khusus?](CWL-custom-data-identifiers.md#what-are-custom-data-identifiers)
+ [Kendala pengenal data kustom](CWL-custom-data-identifiers.md#custom-data-identifiers-constraints)
+ [Menggunakan pengidentifikasi data khusus di konsol](CWL-custom-data-identifiers.md#using-custom-data-identifiers-console)
+ [Menggunakan pengidentifikasi data khusus dalam kebijakan perlindungan data Anda](CWL-custom-data-identifiers.md#using-custom-data-identifiers)
# Memahami kebijakan perlindungan data
**Topics**
+ [Apa itu kebijakan perlindungan data?](#what-are-data-protection-policies)
+ [Bagaimana kebijakan perlindungan data terstruktur?](#overview-of-data-protection-policies)
## Apa itu kebijakan perlindungan data?
CloudWatch Log menggunakan **kebijakan perlindungan data** untuk memilih data sensitif yang ingin Anda pindai, dan tindakan yang ingin Anda ambil untuk melindungi data tersebut. Untuk memilih data sensitif yang menarik, Anda menggunakan [pengidentifikasi data](CWL-managed-data-identifiers.md). CloudWatch Perlindungan data log kemudian mendeteksi data sensitif dengan menggunakan pembelajaran mesin dan pencocokan pola. Untuk menindaklanjuti pengidentifikasi data yang ditemukan, Anda dapat menentukan operasi **audit** dan **de-identifikasi**. Operasi ini memungkinkan Anda mencatat data sensitif yang ditemukan (atau tidak ditemukan), dan untuk menutupi data sensitif saat peristiwa log dilihat.
## Bagaimana kebijakan perlindungan data terstruktur?
Seperti yang diilustrasikan pada gambar berikut, dokumen kebijakan perlindungan data mencakup elemen-elemen berikut:
+ Informasi opsional untuk seluruh kebijakan di bagian atas dokumen
+ Satu pernyataan yang mendefinisikan tindakan audit dan de-identifikasi
Hanya satu kebijakan perlindungan data yang dapat ditentukan per grup CloudWatch log Log. Kebijakan perlindungan data dapat memiliki satu atau lebih pernyataan penolakan atau de-identifikasi, tetapi hanya satu pernyataan audit.
### Properti JSON untuk kebijakan perlindungan data
Kebijakan perlindungan data memerlukan informasi kebijakan dasar berikut untuk identifikasi:
+ **Nama** — Nama kebijakan.
+ **Deskripsi** (Opsional) — Deskripsi kebijakan.
+ **Versi** - Versi bahasa kebijakan. Versi saat ini adalah 2021-06-01.
+ **Pernyataan** — Daftar pernyataan yang menentukan tindakan kebijakan perlindungan data.
```
{
"Name": "CloudWatchLogs-PersonalInformation-Protection",
"Description": "Protect basic types of sensitive data",
"Version": "2021-06-01",
"Statement": [
...
]
}
```
### Properti JSON untuk pernyataan kebijakan
Pernyataan kebijakan menetapkan konteks deteksi untuk operasi perlindungan data.
+ **Sid** (Opsional) - Pengidentifikasi pernyataan.
+ **DataIdentifier**— Data sensitif yang harus dipindai oleh CloudWatch Log. Misalnya, nama, alamat, atau nomor telepon.
+ **Operasi** **— Tindakan tindak lanjut, baik **Audit** atau De-identifikasi.** CloudWatch Log melakukan tindakan ini ketika menemukan data sensitif.
```
{
...
"Statement": [
{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/Address"
],
"Operation": {
"Audit": {
"FindingsDestination": {}
}
}
},
```
### Properti JSON untuk operasi pernyataan kebijakan
Pernyataan kebijakan menetapkan salah satu operasi perlindungan data berikut.
+ **Audit** — Memancarkan laporan metrik dan temuan tanpa mengganggu pencatatan. String yang cocok menambah **LogEventsWithFindings**metrik yang diterbitkan CloudWatch Log ke namespace **AWS/Log**. CloudWatch Anda dapat menggunakan metrik ini untuk membuat alarm.
Untuk contoh laporan temuan, lihat[Laporan temuan audit](mask-sensitive-log-data-audit-findings.md).
Untuk informasi selengkapnya tentang metrik yang dikirimkan oleh CloudWatch Log CloudWatch, lihat[Pemantauan dengan CloudWatch metrik](CloudWatch-Logs-Monitoring-CloudWatch-Metrics.md).
+ **De-identifikasi—Tutupi** data sensitif tanpa mengganggu pencatatan.
# Izin IAM diperlukan untuk membuat atau bekerja dengan kebijakan perlindungan data
Agar dapat bekerja dengan kebijakan perlindungan data untuk grup log, Anda harus memiliki izin tertentu seperti yang ditunjukkan pada tabel berikut. Izin berbeda untuk kebijakan perlindungan data di seluruh akun dan untuk kebijakan perlindungan data yang berlaku untuk satu grup log.
## Izin diperlukan untuk kebijakan perlindungan data tingkat akun
**catatan**
Jika Anda melakukan salah satu operasi ini di dalam fungsi Lambda, peran eksekusi Lambda dan batas izin juga harus menyertakan izin berikut.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/AmazonCloudWatch/latest/logs/data-protection-policy-permissions.html)
Jika ada log audit perlindungan data yang sudah dikirim ke tujuan, maka kebijakan lain yang mengirim log ke tujuan yang sama hanya memerlukan izin `logs:PutDataProtectionPolicy` dan `logs:CreateLogDelivery` izin.
## Izin yang diperlukan untuk kebijakan perlindungan data untuk satu grup log
**catatan**
Jika Anda melakukan salah satu operasi ini di dalam fungsi Lambda, peran eksekusi Lambda dan batas izin juga harus menyertakan izin berikut.
| Operasi | Izin IAM diperlukan | Sumber daya |
| --- | --- | --- |
| Membuat kebijakan perlindungan data tanpa tujuan audit | `logs:PutDataProtectionPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
| Membuat kebijakan perlindungan data dengan CloudWatch Log sebagai tujuan audit | `logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `logs:PutResourcePolicy` `logs:DescribeResourcePolicies` `logs:DescribeLogGroups` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` `*` `*` `*` `*` |
| Membuat kebijakan perlindungan data dengan Firehose sebagai tujuan audit | `logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `firehose:TagDeliveryStream` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` `*` `arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM` |
| Membuat kebijakan perlindungan data dengan Amazon S3 sebagai tujuan audit | `logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `s3:GetBucketPolicy` `s3:PutBucketPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` `*` `arn:aws:s3:::YOUR_BUCKET` `arn:aws:s3:::YOUR_BUCKET` |
| Buka kedok peristiwa log bertopeng | `logs:Unmask` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
| Melihat kebijakan perlindungan data yang ada | `logs:GetDataProtectionPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
| Menghapus kebijakan perlindungan data | `logs:DeleteDataProtectionPolicy` | `arn:aws:logs:::log-group:YOUR_LOG_GROUP:*` |
Jika ada log audit perlindungan data yang sudah dikirim ke tujuan, maka kebijakan lain yang mengirim log ke tujuan yang sama hanya memerlukan izin `logs:PutDataProtectionPolicy` dan `logs:CreateLogDelivery` izin.
## Contoh kebijakan perlindungan data
Contoh kebijakan berikut memungkinkan pengguna untuk membuat, melihat, dan menghapus kebijakan perlindungan data yang dapat mengirimkan temuan audit ke ketiga jenis tujuan audit. Itu tidak mengizinkan pengguna untuk melihat data yang dibuka kedoknya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLogDeliveryConfiguration",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:PutResourcePolicy",
"logs:DescribeLogGroups",
"logs:DescribeResourcePolicies"
],
"Resource": "*"
},
{
"Sid": "AllowDataProtectionAndBucketConfiguration",
"Effect": "Allow",
"Action": [
"logs:GetDataProtectionPolicy",
"logs:DeleteDataProtectionPolicy",
"logs:PutDataProtectionPolicy",
"s3:PutBucketPolicy",
"firehose:TagDeliveryStream",
"s3:GetBucketPolicy"
],
"Resource": [
"arn:aws:firehose:us-east-1:111122223333:deliverystream/delivery-stream-name",
"arn:aws:s3:::amzn-s3-demo-destination-bucket",
"arn:aws:logs:us-east-1:111122223333:log-group:log-group-name:*"
]
}
]
}
```
------
# Buat kebijakan perlindungan data seluruh akun
Anda dapat menggunakan konsol CloudWatch Log atau AWS CLI perintah untuk membuat kebijakan perlindungan data guna menutupi data sensitif untuk semua grup log di akun Anda. Melakukannya memengaruhi grup log saat ini dan grup log yang Anda buat di masa mendatang.
**penting**
Data sensitif terdeteksi dan disamarkan saat tertelan ke dalam grup log. Saat Anda menetapkan kebijakan perlindungan data, peristiwa log yang dicerna ke grup log sebelum waktu tersebut tidak disamarkan.
**Topics**
+ [Konsol](#mask-sensitive-log-data-accountlevel-console)
+ [AWS CLI](#mask-sensitive-log-data-accountlevel-cli)
## Konsol
**Untuk menggunakan konsol untuk membuat kebijakan perlindungan data seluruh akun**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Pada panel navigasi, silakan pilih **Pengaturan**. Itu terletak di dekat bagian bawah daftar.
1. Pilih tab **Log**.
1. Pilih **Konfigurasikan**
1. Untuk **pengidentifikasi data terkelola**, pilih jenis data yang ingin Anda audit dan tutupi untuk semua grup log Anda. Anda dapat mengetikkan kotak pilihan untuk menemukan pengidentifikasi yang Anda inginkan.
Kami menyarankan Anda hanya memilih pengenal data yang relevan untuk data log dan bisnis Anda. Memilih banyak jenis data dapat menyebabkan positif palsu.
Untuk detail tentang jenis data yang dapat Anda lindungi, lihat[Jenis data yang dapat Anda lindungi](protect-sensitive-log-data-types.md).
1. (Opsional) Jika Anda ingin mengaudit dan menutupi jenis data lain dengan menggunakan pengidentifikasi data khusus, pilih **Tambahkan pengenal data khusus**. Kemudian masukkan nama untuk tipe data dan ekspresi reguler yang akan digunakan untuk mencari jenis data tersebut dalam peristiwa log. Untuk informasi selengkapnya, lihat [Pengidentifikasi data khusus](CWL-custom-data-identifiers.md).
Kebijakan perlindungan data tunggal dapat mencakup hingga 10 pengidentifikasi data kustom. Setiap ekspresi reguler yang mendefinisikan pengenal data kustom harus 200 karakter atau kurang.
1. (Opsional) Pilih satu atau lebih layanan untuk mengirimkan temuan audit ke. Bahkan jika Anda memilih untuk tidak mengirim temuan audit ke salah satu layanan ini, tipe data sensitif yang Anda pilih akan tetap tertutup.
1. Pilih **Aktifkan perlindungan data**.
## AWS CLI
**Untuk menggunakan AWS CLI untuk membuat kebijakan perlindungan data**
1. Gunakan editor teks untuk membuat file kebijakan bernama`DataProtectionPolicy.json`. Untuk informasi tentang sintaks kebijakan, lihat bagian berikut.
1. Masukkan perintah berikut:
```
aws logs put-account-policy \
--policy-name TEST_POLICY --policy-type "DATA_PROTECTION_POLICY" \
--policy-document file://policy.json \
--scope "ALL" \
--region us-west-2
```
### Sintaks kebijakan perlindungan data untuk AWS CLI atau operasi API
Saat Anda membuat kebijakan perlindungan data JSON untuk digunakan dalam operasi AWS CLI perintah atau API, kebijakan tersebut harus menyertakan dua blok JSON:
+ Blok pertama harus menyertakan `DataIdentifer` array dan `Operation` properti dengan `Audit` tindakan. `DataIdentifer`Array mencantumkan jenis data sensitif yang ingin Anda tutupi. Untuk informasi lebih lanjut tentang opsi yang tersedia, lihat [Jenis data yang dapat Anda lindungi](protect-sensitive-log-data-types.md).
`Operation`Properti dengan `Audit` tindakan diperlukan untuk menemukan istilah data sensitif. `Audit`Tindakan ini harus berisi `FindingsDestination` objek. Anda dapat menggunakan `FindingsDestination` objek tersebut secara opsional untuk mencantumkan satu atau beberapa tujuan untuk mengirim laporan temuan audit. Jika Anda menentukan tujuan seperti grup log, aliran Amazon Data Firehose, dan bucket S3, mereka harus sudah ada. Untuk contoh laporan audit findins, lihat. [Laporan temuan audit](mask-sensitive-log-data-audit-findings.md)
+ Blok kedua harus menyertakan `DataIdentifer` array dan `Operation` properti dengan `Deidentify` tindakan. `DataIdentifer`Array harus sama persis dengan `DataIdentifer` array di blok pertama kebijakan.
`Operation`Properti dengan `Deidentify` tindakan adalah apa yang sebenarnya menutupi data, dan itu harus berisi ` "MaskConfig": {}` objek. ` "MaskConfig": {}`Objek harus kosong.
Berikut ini adalah contoh kebijakan perlindungan data yang hanya menggunakan pengidentifikasi data terkelola. Kebijakan ini menutupi alamat email dan SIM Amerika Serikat.
Untuk informasi tentang kebijakan yang menentukan pengenal data kustom, lihat[Menggunakan pengidentifikasi data khusus dalam kebijakan perlindungan data Anda](CWL-custom-data-identifiers.md#using-custom-data-identifiers).
```
{
"Name": "data-protection-policy",
"Description": "test description",
"Version": "2021-06-01",
"Statement": [{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
},
"Firehose": {
"DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
},
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Deidentify": {
"MaskConfig": {}
}
}
}
]
}
```
# Membuat kebijakan perlindungan data untuk satu grup log
Anda dapat menggunakan konsol CloudWatch Log atau AWS CLI perintah untuk membuat kebijakan perlindungan data untuk menutupi data sensitif.
Anda dapat menetapkan satu kebijakan perlindungan data untuk setiap grup log. Setiap kebijakan perlindungan data dapat mengaudit berbagai jenis informasi. Setiap kebijakan perlindungan data dapat mencakup satu pernyataan audit.
**Topics**
+ [Konsol](#mask-sensitive-log-data-start-console)
+ [AWS CLI](#mask-sensitive-log-data-start-cli)
## Konsol
**Untuk menggunakan konsol untuk membuat kebijakan perlindungan data**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi, pilih **Log**, **Grup log**.
1. Pilih nama grup log.
1. Pilih **Tindakan**, **Buat kebijakan perlindungan data**.
1. Untuk **pengidentifikasi data terkelola**, pilih jenis data yang ingin Anda audit dan tutupi di grup log ini. Anda dapat mengetikkan kotak pilihan untuk menemukan pengidentifikasi yang Anda inginkan.
Kami menyarankan Anda hanya memilih pengenal data yang relevan untuk data log dan bisnis Anda. Memilih banyak jenis data dapat menyebabkan positif palsu.
Untuk detail tentang jenis data yang dapat Anda lindungi dengan menggunakan pengenal data terkelola, lihat[Jenis data yang dapat Anda lindungi](protect-sensitive-log-data-types.md).
1. (Opsional) Jika Anda ingin mengaudit dan menutupi jenis data lain dengan menggunakan pengidentifikasi data khusus, pilih **Tambahkan pengenal data khusus**. Kemudian masukkan nama untuk tipe data dan ekspresi reguler yang akan digunakan untuk mencari jenis data tersebut dalam peristiwa log. Untuk informasi selengkapnya, lihat [Pengidentifikasi data khusus](CWL-custom-data-identifiers.md).
Kebijakan perlindungan data tunggal dapat mencakup hingga 10 pengidentifikasi data kustom. Setiap ekspresi reguler yang mendefinisikan pengenal data kustom harus 200 karakter atau kurang.
1. (Opsional) Pilih satu atau lebih layanan untuk mengirimkan temuan audit ke. Bahkan jika Anda memilih untuk tidak mengirim temuan audit ke salah satu layanan ini, tipe data sensitif yang Anda pilih akan tetap tertutup.
1. Pilih **Aktifkan perlindungan data**.
## AWS CLI
**Untuk menggunakan AWS CLI untuk membuat kebijakan perlindungan data**
1. Gunakan editor teks untuk membuat file kebijakan bernama`DataProtectionPolicy.json`. Untuk informasi tentang sintaks kebijakan, lihat bagian berikut.
1. Masukkan perintah berikut:
```
aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2
```
### Sintaks kebijakan perlindungan data untuk AWS CLI atau operasi API
Saat Anda membuat kebijakan perlindungan data JSON untuk digunakan dalam operasi AWS CLI perintah atau API, kebijakan tersebut harus menyertakan dua blok JSON:
+ Blok pertama harus menyertakan `DataIdentifer` array dan `Operation` properti dengan `Audit` tindakan. `DataIdentifer`Array mencantumkan jenis data sensitif yang ingin Anda tutupi. Untuk informasi lebih lanjut tentang opsi yang tersedia, lihat [Jenis data yang dapat Anda lindungi](protect-sensitive-log-data-types.md).
`Operation`Properti dengan `Audit` tindakan diperlukan untuk menemukan istilah data sensitif. `Audit`Tindakan ini harus berisi `FindingsDestination` objek. Anda dapat menggunakan `FindingsDestination` objek tersebut secara opsional untuk mencantumkan satu atau beberapa tujuan untuk mengirim laporan temuan audit. Jika Anda menentukan tujuan seperti grup log, aliran Amazon Data Firehose, dan bucket S3, mereka harus sudah ada. Untuk contoh laporan audit findins, lihat. [Laporan temuan audit](mask-sensitive-log-data-audit-findings.md)
+ Blok kedua harus menyertakan `DataIdentifer` array dan `Operation` properti dengan `Deidentify` tindakan. `DataIdentifer`Array harus sama persis dengan `DataIdentifer` array di blok pertama kebijakan.
`Operation`Properti dengan `Deidentify` tindakan adalah apa yang sebenarnya menutupi data, dan itu harus berisi ` "MaskConfig": {}` objek. ` "MaskConfig": {}`Objek harus kosong.
Berikut ini adalah contoh kebijakan perlindungan data yang menutupi alamat email dan SIM Amerika Serikat.
```
{
"Name": "data-protection-policy",
"Description": "test description",
"Version": "2021-06-01",
"Statement": [{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
},
"Firehose": {
"DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
},
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Deidentify": {
"MaskConfig": {}
}
}
}
]
}
```
# Lihat data yang dibuka kedoknya
Untuk melihat data yang dibuka kedok, pengguna harus memiliki izin. `logs:Unmask` Pengguna dengan izin ini dapat melihat data yang dibuka kedoknya dengan cara berikut:
+ Saat melihat peristiwa dalam aliran log, pilih **Tampilan**, **Buka Kedok**.
+ Gunakan kueri CloudWatch Logs Insights yang menyertakan perintah **unmask (@message)**. Contoh query berikut menampilkan 20 peristiwa log terbaru dalam aliran, membuka kedoknya:
```
fields @timestamp, @message, unmask(@message)
| sort @timestamp desc
| limit 20
```
Untuk informasi selengkapnya tentang perintah Wawasan CloudWatch Log, lihat[CloudWatch Sintaks kueri bahasa Wawasan Log](CWL_QuerySyntax.md).
+ Gunakan [ GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html)atau [ FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html)operasi dengan `unmask` parameter.
**CloudWatchLogsFullAccess**Kebijakan tersebut termasuk `logs:Unmask` izin. Untuk memberikan `logs:Unmask` kepada pengguna yang tidak memiliki **CloudWatchLogsFullAccess**, Anda dapat melampirkan kebijakan IAM khusus kepada pengguna tersebut. Untuk informasi selengkapnya, lihat [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console).
# Laporan temuan audit
Jika Anda menyiapkan kebijakan audit perlindungan data CloudWatch Log untuk menulis laporan audit ke CloudWatch Log, Amazon S3, atau Firehose, laporan temuan ini serupa dengan contoh berikut. CloudWatch Log menulis satu laporan temuan untuk setiap peristiwa log yang berisi data sensitif.
```
{
"auditTimestamp": "2023-01-23T21:11:20Z",
"resourceArn": "arn:aws:logs:us-west-2:111122223333:log-group:/aws/lambda/MyLogGroup:*",
"dataIdentifiers": [
{
"name": "EmailAddress",
"count": 2,
"detections": [
{
"start": 13,
"end": 26
},
{
"start": 30,
"end": 43
}
]
}
]
}
```
Bidang dalam laporan adalah sebagai berikut:
+ `resourceArn`Bidang menampilkan grup log tempat data sensitif ditemukan.
+ `dataIdentifiers`Objek menampilkan informasi tentang temuan untuk satu jenis data senssitif yang Anda audit.
+ `name`Bidang mengidentifikasi jenis data sensitif yang dilaporkan bagian ini.
+ `count`Bidang menampilkan berapa kali jenis data sensitif ini muncul dalam peristiwa log.
+ `end`Bidang `start` dan menunjukkan di mana dalam peristiwa log, berdasarkan jumlah karakter, setiap kemunculan data sensitif muncul.
Contoh sebelumnya menunjukkan laporan menemukan dua alamat email dalam satu peristiwa log. Alamat email pertama dimulai pada karakter ke-13 dari peristiwa log dan berakhir pada karakter ke-26. Alamat email kedua berjalan dari karakter ke-30 ke karakter ke-43. Meskipun peristiwa log ini memiliki dua alamat email, nilai `LogEventsWithFindings` metrik hanya bertambah satu, karena metrik tersebut menghitung jumlah peristiwa log yang berisi data sensitif, bukan jumlah kejadian data sensitif.
## Kebijakan kunci yang diperlukan untuk mengirim temuan audit ke ember yang dilindungi oleh AWS KMS
Anda dapat melindungi data dalam bucket Amazon S3 dengan mengaktifkan Enkripsi Sisi Server dengan Amazon S3-Managed Keys (SSE-S3) atau Enkripsi Sisi Server dengan Kunci KMS (SSE-KMS). Untuk informasi selengkapnya, lihat [Melindungi data menggunakan enkripsi sisi server di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) Pengguna Amazon S3.
Jika Anda mengirim temuan audit ke bucket yang dilindungi dengan SSE-S3, konfigurasi tambahan tidak diperlukan. Amazon S3 menangani kunci enkripsi.
Jika Anda mengirim temuan audit ke bucket yang dilindungi oleh SSE-KMS, Anda harus memperbarui kebijakan kunci untuk kunci KMS Anda sehingga akun pengiriman log dapat menulis ke bucket S3 Anda. Untuk informasi selengkapnya tentang kebijakan kunci yang diperlukan untuk digunakan dengan SSE-KMS, lihat [Enkripsi sisi server bucket Amazon S3](AWS-logs-infrastructure-S3.md#AWS-logs-SSE-KMS-S3) di Panduan Pengguna Amazon CloudWatch Logs.
# Jenis data yang dapat Anda lindungi
Bagian ini berisi informasi tentang jenis data yang dapat Anda lindungi dalam kebijakan perlindungan data CloudWatch Log. CloudWatch Pengidentifikasi data terkelola log menawarkan tipe data yang telah dikonfigurasi sebelumnya untuk melindungi data keuangan, informasi kesehatan pribadi (PHI), dan informasi identitas pribadi (PII). Anda juga dapat menggunakan pengidentifikasi data khusus untuk membuat pengidentifikasi data yang disesuaikan dengan kasus penggunaan spesifik Anda.
**Contents**
+ [CloudWatch Pengidentifikasi data terkelola log untuk tipe data sensitif](CWL-managed-data-identifiers.md)
+ [Kredensial](protect-sensitive-log-data-types-credentials.md)
+ [Pengidentifikasi data ARNs untuk tipe data kredensyal](protect-sensitive-log-data-types-credentials.md#cwl-data-protection-credentials-arns)
+ [Pengidentifikasi perangkat](protect-sensitive-log-data-types-device.md)
+ [Pengidentifikasi data ARNs untuk tipe data perangkat](protect-sensitive-log-data-types-device.md#cwl-data-protection-devices-arns)
+ [Informasi keuangan](protect-sensitive-log-data-types-financial.md)
+ [Pengidentifikasi data ARNs untuk tipe data keuangan](protect-sensitive-log-data-types-financial.md#cwl-data-protection-financial-arns)
+ [Informasi kesehatan yang dilindungi (PHI)](protect-sensitive-log-data-types-health.md)
+ [Pengidentifikasi data ARNs untuk tipe data informasi kesehatan yang dilindungi (PHI)](protect-sensitive-log-data-types-health.md#cwl-data-protection-phi-arns)
+ [Informasi Identifikasi Pribadi (PII)](protect-sensitive-log-data-types-pii.md)
+ [Kata kunci untuk nomor identifikasi surat izin mengemudi](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-dl-keywords)
+ [Kata kunci untuk nomor induk kependudukan](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-natlid-keywords)
+ [Kata kunci untuk nomor paspor](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-passport-keywords)
+ [Kata kunci untuk nomor pokok wajib pajak](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-financial-tin-keywords)
+ [Pengidentifikasi data ARNs untuk informasi identitas pribadi (PII)](protect-sensitive-log-data-types-pii.md#CWL-data-protection-pii-arns)
+ [Pengidentifikasi data khusus](CWL-custom-data-identifiers.md)
+ [Apa itu pengidentifikasi data khusus?](CWL-custom-data-identifiers.md#what-are-custom-data-identifiers)
+ [Kendala pengenal data kustom](CWL-custom-data-identifiers.md#custom-data-identifiers-constraints)
+ [Menggunakan pengidentifikasi data khusus di konsol](CWL-custom-data-identifiers.md#using-custom-data-identifiers-console)
+ [Menggunakan pengidentifikasi data khusus dalam kebijakan perlindungan data Anda](CWL-custom-data-identifiers.md#using-custom-data-identifiers)
# CloudWatch Pengidentifikasi data terkelola log untuk tipe data sensitif
Bagian ini berisi informasi tentang jenis data yang dapat Anda lindungi menggunakan pengidentifikasi data terkelola, dan negara dan wilayah mana yang relevan untuk masing-masing jenis data tersebut.
Untuk beberapa jenis data sensitif, perlindungan data CloudWatch Log memindai kata kunci di dekat data, dan menemukan kecocokan hanya jika menemukan kata kunci itu. Jika kata kunci harus berada di dekat tipe data tertentu, kata kunci biasanya harus berada dalam 30 karakter (inklusif) dari data tersebut.
Jika kata kunci berisi spasi, perlindungan data CloudWatch Log secara otomatis cocok dengan variasi kata kunci yang kehilangan ruang atau yang berisi garis bawah (`_`) atau tanda hubung (`-`) alih-alih spasi. Dalam beberapa kasus, CloudWatch Log juga memperluas atau menyingkat kata kunci untuk mengatasi variasi umum kata kunci.
Tabel berikut mencantumkan jenis informasi kredensyal, perangkat, keuangan, medis, dan kesehatan yang dilindungi (PHI) yang dapat dideteksi oleh CloudWatch Log menggunakan pengidentifikasi data terkelola. Tabel ini merupakan tambahan untuk tipe data tertentu yang mungkin juga memenuhi syarat sebagai informasi pengenal pribadi (PII).
**Pengidentifikasi yang didukung yang independen bahasa dan wilayah**
| Pengidentifikasi | Kategori |
| --- | --- |
| `Address` | Personal |
| `AwsSecretKey` | Kredensial |
| `CreditCardExpiration` | Keuangan |
| `CreditCardNumber` | Keuangan |
| `CreditCardSecurityCode` | Keuangan |
| `EmailAddress` | Personal |
| `IpAddress` | Personal |
| `LatLong` | Personal |
| `Name` | Personal |
| `OpenSshPrivateKey` | Kredensial |
| `PgpPrivateKey` | Kredensial |
| `PkcsPrivateKey` | Kredensial |
| `PuttyPrivateKey` | Kredensial |
| `VehicleIdentificationNumber` | Personal |
Pengidentifikasi data yang bergantung pada wilayah harus menyertakan nama pengidentifikasi, lalu tanda hubung, dan kemudian kode dua huruf (ISO 3166-1 alpha-2). Misalnya, `DriversLicense-US`.
**Pengidentifikasi yang didukung yang harus menyertakan kode negara atau wilayah dua huruf**
| Pengidentifikasi | Kategori | Negara dan bahasa |
| --- | --- | --- |
| BankAccountNumber | Keuangan | DE, ES, FR, GB, ITU, KITA |
| CepCode | Personal | BR |
| Cnpj | Personal | BR |
| CpfCode | Personal | BR |
| DriversLicense | Personal | DI, AU, BE, BG, CA, CY, CZ, DE, DK, E, ES, FI, FR, GB, GR, HR, HU, YAITU, ITU, LT, LU, LV, MT, NL, PL, PT, RO, SE, SI, SK, US |
| DrugEnforcementAgencyNumber | Health | AS |
| ElectoralRollNumber | Personal | GB |
| HealthInsuranceCardNumber | Health | EU |
| HealthInsuranceClaimNumber | Health | AS |
| HealthInsuranceNumber | Health | FR |
| HealthcareProcedureCode | Health | AS |
| IndividualTaxIdentificationNumber | Personal | AS |
| InseeCode | Personal | FR |
| MedicareBeneficiaryNumber | Health | AS |
| NationalDrugCode | Health | AS |
| NationalIdentificationNumber | Personal | DE, ES, ITU |
| NationalInsuranceNumber | Personal | GB |
| NationalProviderId | Health | AS |
| NhsNumber | Health | GB |
| NieNumber | Personal | ES |
| NifNumber | Personal | ES |
| PassportNumber | Personal | CA, DE, ES, FR, GB, ITU, KAMI |
| PermanentResidenceNumber | Personal | CA |
| PersonalHealthNumber | Health | CA |
| PhoneNumber | Personal | BR, DE, ES, FR, GB, ITU, KAMI |
| PostalCode | Personal | CA |
| RgNumber | Personal | BR |
| SocialInsuranceNumber | Personal | CA |
| Ssn | Personal | ES, KITA |
| TaxId | Personal | DE, ES, FR, GB |
| ZipCode | Personal | AS |
# Kredensial
CloudWatch Perlindungan data log dapat menemukan jenis kredensil berikut.
| Jenis data | ID pengenal data | Diperlukan kata kunci | Negara dan wilayah |
| --- | --- | --- | --- |
| AWS kunci akses rahasia | `AwsSecretKey` | `aws_secret_access_key`, `credentials`, `secret access key`, `secret key`, `set-awscredential` | Semua |
| Kunci pribadi OpenSSH | `OpenSSHPrivateKey` | Tidak ada | Semua |
| Kunci pribadi PGP | `PgpPrivateKey` | Tidak ada | Semua |
| Kunci Pribadi PKCS | `PkcsPrivateKey` | Tidak ada | Semua |
| Kunci pribadi PuTTY | `PuttyPrivateKey` | Tidak ada | Semua |
## Pengidentifikasi data ARNs untuk tipe data kredensyal
Berikut ini mencantumkan Nama Sumber Daya Amazon (ARNs) untuk pengidentifikasi data yang dapat Anda tambahkan ke kebijakan perlindungan data Anda.
| Pengidentifikasi data kredensi ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/AwsSecretKey |
| arn:aws:dataprotection::aws:data-identifier/OpenSshPrivateKey |
| arn:aws:dataprotection::aws:data-identifier/PgpPrivateKey |
| arn:aws:dataprotection::aws:data-identifier/PkcsPrivateKey |
| arn:aws:dataprotection::aws:data-identifier/PuttyPrivateKey |
# Pengidentifikasi perangkat
CloudWatch Perlindungan data log dapat menemukan jenis pengidentifikasi perangkat berikut.
| Jenis data | ID pengenal data | Diperlukan kata kunci | Negara dan wilayah |
| --- | --- | --- | --- |
| Alamat IP | `IpAddress` | Tidak ada | Semua |
## Pengidentifikasi data ARNs untuk tipe data perangkat
Berikut ini mencantumkan Nama Sumber Daya Amazon (ARNs) untuk pengidentifikasi data yang dapat Anda tambahkan ke kebijakan perlindungan data Anda.
| Pengenal data perangkat ARN |
| --- |
| arn:aws:dataprotection::aws:data-identifier/IpAddress |
# Informasi keuangan
CloudWatch Perlindungan data log dapat menemukan jenis informasi keuangan berikut.
Jika Anda menetapkan kebijakan perlindungan data, CloudWatch Log akan memindai pengenal data yang Anda tentukan, apa pun geolokasi grup log tersebut berada. Informasi di kolom **Negara dan wilayah** dalam tabel ini menunjukkan apakah kode negara dua huruf harus ditambahkan ke pengenal data untuk mendeteksi kata kunci yang sesuai untuk negara dan wilayah tersebut.
| Jenis data | ID pengenal data | Diperlukan kata kunci | Negara dan wilayah | Catatan |
| --- | --- | --- | --- | --- |
| Nomor rekening bank | `BankAccountNumber` | Ya. Kata kunci yang berbeda berlaku untuk negara yang berbeda. Untuk detailnya, lihat tabel **Kata kunci untuk nomor rekening bank** nanti di bagian ini. | Prancis, Jerman, Italia, Spanyol, Inggris Raya, Amerika Serikat | Termasuk Nomor Rekening Bank Internasional (IBANs) yang terdiri dari hingga 34 karakter alfanumerik, termasuk elemen seperti kode negara. |
| Tanggal kedaluwarsa kartu kredit | `CreditCardExpiration` | `exp d`, `exp m`, `exp y`, `expiration`, `expiry` | Semua | |
| Nomor kartu kredit | `CreditCardNumber` | `account number`, `american express`, `amex`, `bank card`, `card`, `card number`, `card num`, `cc #`, `ccn`, `check card`, `credit`, `credit card#`, `dankort`, `debit`, `debit card`, `diners club`, `discover`, `electron`, `japanese card bureau`, `jcb`, `mastercard`, `mc`, `pan`, `payment account number`, `payment card number`, `pcn`, `union pay`, `visa` | Semua | Deteksi mengharuskan data menjadi urutan 13-19 digit yang mematuhi rumus pemeriksaan Luhn, dan menggunakan awalan nomor kartu standar untuk salah satu jenis kartu kredit berikut: American Express, Dankort, Diner's Club, Discover, Electron, Japanese Card Bureau (JCB), Mastercard, dan Visa. UnionPay |
| Kode verifikasi kartu kredit | `CreditCardSecurityCode` | `card id`, `card identification code`, `card identification number`, `card security code`, `card validation code`, `card validation number`, `card verification data`, `card verification value`, `cvc`, `cvc2`, `cvv`, `cvv2`, `elo verification code` | Semua | |
**Kata kunci untuk nomor rekening bank**
Gunakan kata kunci berikut untuk nomor rekening bank. Ini termasuk Nomor Rekening Bank Internasional (IBANs) yang terdiri dari hingga 34 karakter alfanumerik, termasuk elemen seperti kode negara.
| Negara | Kata kunci |
| --- | --- |
| France | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `code bancaire`, `compte bancaire`, `customer account id`, `customer account number`, `customer bank account id`, `iban`, `numéro de compte` |
| Germany | `account code`, `account number`, `accountno#`, `accountnumber#`, `bankleitzahl`, `bban`, `customer account id`, `customer account number`, `customer bank account id`, `geheimzahl`, `iban`, `kartennummer`, `kontonummer`, `kreditkartennummer`, `sepa` |
| Italy | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `codice bancario`, `conto bancario`, `customer account id`, `customer account number`, `customer bank account id`, `iban`, `numero di conto` |
| Spain | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `código cuenta`, `código cuenta bancaria`, `cuenta cliente id`, `customer account ID`, `customer account number`, `customer bank account id`, `iban`, `número cuenta bancaria cliente`, `número cuenta cliente` |
| Britania Raya | `account code`, `account number`, `accountno#`, `accountnumber#`, `bban`, `customer account ID`, `customer account number`, `customer bank account id`, `iban`, `sepa` |
| Amerika Serikat | `bank account`, `bank acct`, `checking account`, `checking acct`, `deposit account`, `deposit acct`, `savings account`, `savings acct`, `chequing account`, `chequing acct` |
CloudWatch Log tidak melaporkan kejadian urutan berikut, yang telah disediakan oleh penerbit kartu kredit untuk pengujian publik.
```
122000000000003, 2222405343248877, 2222990905257051, 2223007648726984, 2223577120017656,
30569309025904, 34343434343434, 3528000700000000, 3530111333300000, 3566002020360505, 36148900647913,
36700102000000, 371449635398431, 378282246310005, 378734493671000, 38520000023237, 4012888888881881,
4111111111111111, 4222222222222, 4444333322221111, 4462030000000000, 4484070000000000, 4911830000000,
4917300800000000, 4917610000000000, 4917610000000000003, 5019717010103742, 5105105105105100,
5111010030175156, 5185540810000019, 5200828282828210, 5204230080000017, 5204740009900014, 5420923878724339,
5454545454545454, 5455330760000018, 5506900490000436, 5506900490000444, 5506900510000234, 5506920809243667,
5506922400634930, 5506927427317625, 5553042241984105, 5555553753048194, 5555555555554444, 5610591081018250,
6011000990139424, 6011000400000000, 6011111111111117, 630490017740292441, 630495060000000000,
6331101999990016, 6759649826438453, 6799990100000000019, and 76009244561.
```
## Pengidentifikasi data ARNs untuk tipe data keuangan
Berikut ini mencantumkan Nama Sumber Daya Amazon (ARNs) untuk pengidentifikasi data yang dapat Anda tambahkan ke kebijakan perlindungan data Anda.
| Pengidentifikasi data keuangan ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/BankAccountNumber-US |
| arn:aws:dataprotection::aws:data-identifier/CreditCardExpiration |
| arn:aws:dataprotection::aws:data-identifier/CreditCardNumber |
| arn:aws:dataprotection::aws:data-identifier/CreditCardSecurityCode |
# Informasi kesehatan yang dilindungi (PHI)
CloudWatch Perlindungan data log dapat menemukan jenis informasi kesehatan yang dilindungi (PHI) berikut.
Jika Anda menetapkan kebijakan perlindungan data, CloudWatch Log akan memindai pengenal data yang Anda tentukan, apa pun geolokasi grup log tersebut berada. Informasi di kolom **Negara dan wilayah** dalam tabel ini menunjukkan apakah kode negara dua huruf harus ditambahkan ke pengenal data untuk mendeteksi kata kunci yang sesuai untuk negara dan wilayah tersebut.
| Jenis data | ID pengenal data | Diperlukan kata kunci | Negara dan wilayah |
| --- | --- | --- | --- |
| Nomor registrasi Badan Penegakan Narkoba (DEA) | `DrugEnforcementAgencyNumber` | `dea number`, `dea registration` | Amerika Serikat |
| Nomor Kartu Asuransi Kesehatan (EHIC) | `HealthInsuranceCardNumber` | `assicurazione sanitaria numero`, `carta assicurazione numero`, `carte d’assurance maladie`, `carte européenne d'assurance maladie`, `ceam`, `ehic`, `ehic#`, `finlandehicnumber#`, `gesundheitskarte`, `hälsokort`, `health card`, `health card number`, `health insurance card`, `health insurance number`, `insurance card number`, `krankenversicherungskarte`, `krankenversicherungsnummer`, `medical account number`, `numero conto medico`, `numéro d’assurance maladie`, `numéro de carte d’assurance`, `numéro de compte medical`, `número de cuenta médica`, `número de seguro de salud`, `número de tarjeta de seguro`, `sairaanhoitokortin`, `sairausvakuutuskortti`, `sairausvakuutusnumero`, `sjukförsäkring nummer`, `sjukförsäkringskort`, `suomi ehic-numero`, `tarjeta de salud`, `terveyskortti`, `tessera sanitaria assicurazione numero`, `versicherungsnummer` | Uni Eropa |
| Nomor Klaim Asuransi Kesehatan (HICN) | `HealthInsuranceClaimNumber` | `health insurance claim number`, `hic no`, `hic no.`, `hic number`, `hic#`, `hicn`, `hicn#`, `hicno#` | Amerika Serikat |
| Nomor asuransi atau identifikasi medis | `HealthInsuranceNumber` | `carte d'assuré social`, `carte vitale`, `insurance card` | France |
| Kode Sistem Pengkodean Prosedur Umum Pemeliharaan Kesehatan (HCPCS) | `HealthcareProcedureCode` | `current procedural terminology`, `hcpcs`, `healthcare common procedure coding system` | Amerika Serikat |
| Nomor Penerima Medicare (MBN) | `MedicareBeneficiaryNumber` | `mbi`, `medicare beneficiary` | Amerika Serikat |
| Kode Obat Nasional (NDC) | `NationalDrugCode` | `national drug code`, `ndc` | Amerika Serikat |
| Pengidentifikasi Penyedia Nasional (NPI) | `NationalProviderId` | `hipaa`, `n.p.i.`, `national provider`, `npi` | Amerika Serikat |
| Nomor Layanan Kesehatan Nasional (NHS) | `NhsNumber` | `national health service`, `NHS` | Inggris Raya |
| Nomor Kesehatan Pribadi | `PersonalHealthNumber` | `canada healthcare number`, `msp number`, `care number`, `phn`, `soins de santé` | Kanada |
## Pengidentifikasi data ARNs untuk tipe data informasi kesehatan yang dilindungi (PHI)
Berikut ini mencantumkan pengenal data Amazon Resource Names (ARNs) yang dapat digunakan dalam kebijakan perlindungan data informasi kesehatan yang dilindungi (PHI).
| Pengidentifikasi data PHI ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/DrugEnforcementAgencyNumber-US |
| arn:aws:dataprotection::aws:data-identifier/HealthcareProcedureCode-US |
| arn:aws:dataprotection::aws:data-identifier/HealthInsuranceCardNumber-EU |
| arn:aws:dataprotection::aws:data-identifier/HealthInsuranceClaimNumber-US |
| arn:aws:dataprotection::aws:data-identifier/HealthInsuranceNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/MedicareBeneficiaryNumber-US |
| arn:aws:dataprotection::aws:data-identifier/NationalDrugCode-US |
| arn:aws:dataprotection::aws:data-identifier/NationalInsuranceNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/NationalProviderId-US |
| arn:aws:dataprotection::aws:data-identifier/NhsNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/PersonalHealthNumber-CA |
# Informasi Identifikasi Pribadi (PII)
CloudWatch Perlindungan data log dapat menemukan jenis informasi identitas pribadi (PII) berikut.
Jika Anda menetapkan kebijakan perlindungan data, CloudWatch Log akan memindai pengenal data yang Anda tentukan, apa pun geolokasi grup log tersebut berada. Informasi di kolom **Negara dan wilayah** dalam tabel ini menunjukkan apakah kode negara dua huruf harus ditambahkan ke pengenal data untuk mendeteksi kata kunci yang sesuai untuk negara dan wilayah tersebut.
| Jenis data | ID pengenal data | Diperlukan kata kunci | Negara dan wilayah | Catatan |
| --- | --- | --- | --- | --- |
| Tanggal lahir | `DateOfBirth` | `dob`, `date of birth`, `birthdate`, `birth date`, `birthday`, `b-day`, `bday` | Setiap | Support mencakup sebagian besar format tanggal, seperti semua digit dan kombinasi digit dan nama bulan. Komponen tanggal dapat dipisahkan oleh spasi, garis miring (/), atau tanda hubung (‐). |
| Kode Pos Endereçamento (CEP) | `CepCode` | `cep`, `código de endereçamento postal`, `codigo de endereçamento postal` | Brazil | |
| Kadastro Nacional da Pessoa Jurídica (CNPJ) | `Cnpj` | `cadastro nacional da pessoa jurídica`, `cadastro nacional da pessoa juridica`, `cnpj` | Brazil | |
| Kadaster Pessoas Físicas (CPF) | `CpfCode` | `Cadastro de pessoas fisicas`, `cadastro de pessoas físicas`, `cadastro de pessoa física`, `cadastro de pessoa fisica`, `cpf` | Brazil | |
| Nomor identifikasi lisensi | `DriversLicense` | Ya. Kata kunci yang berbeda berlaku untuk negara yang berbeda. Untuk detailnya, lihat tabel **nomor identifikasi SIM** nanti di bagian ini. | Banyak negara. Untuk detailnya, lihat tabel **nomor identifikasi SIM**. | |
| Nomor Roll Pemilu | `ElectoralRollNumber` | `electoral #`, `electoral number`, `electoral roll #`, `electoral roll no.`, `electoral roll number`, `electoralrollno` | Britania Raya | |
| Identifikasi wajib pajak perorangan | `IndividualTaxIdenticationNumber` | Ya. Kata kunci yang berbeda berlaku untuk negara yang berbeda. Untuk detailnya, lihat tabel **nomor identifikasi wajib pajak perorangan** nanti di bagian ini. | Brasil, Prancis, Jerman, Spanyol, Britania Raya | |
| Institut Nasional untuk Statistik dan Studi Ekonomi (INSEE) | `InseeCode` | Ya. Kata kunci yang berbeda berlaku untuk negara yang berbeda. Untuk detailnya, lihat tabel **Kata kunci untuk nomor identifikasi nasional** nanti di bagian ini. | France | |
| Nomor Identifikasi Nasional | `NationalIdentificationNumber` | Ya. Untuk detailnya, lihat tabel **Kata kunci untuk nomor identifikasi nasional** nanti di bagian ini. | Jerman, Italia, Spanyol | Ini termasuk pengidentifikasi Documento Nacional de Identidad (DNI) (Spanyol), kode fiskal Codice (Italia), dan nomor Kartu Identitas Nasional (Jerman). |
| Nomor Asuransi Nasional (NINO) | `NationalInsuranceNumber` | insurance no., insurance number, insurance\$1, national insurance number, nationalinsurance\$1, nationalinsurancenumber, nin, nino | Britania Raya | – |
| Nama Identidad Extranjero (NIE) | `NieNumber` | Ya. Kata kunci yang berbeda berlaku untuk negara yang berbeda. Untuk detailnya, lihat tabel **nomor identifikasi wajib pajak perorangan** nanti di bagian ini. | Spain | |
| Nomor Identifikasi Fiskal (NIF) | `NifNumber` | Ya. Kata kunci yang berbeda berlaku untuk negara yang berbeda. Untuk detailnya, lihat tabel **nomor identifikasi wajib pajak perorangan** nanti di bagian ini. | Spain | |
| Nomor paspor | `PassportNumber` | Ya. Kata kunci yang berbeda berlaku untuk negara yang berbeda. Untuk detailnya, lihat tabel **Kata kunci untuk nomor paspor** nanti di bagian ini. | Kanada, Prancis, Jerman, Italia, Spanyol, Inggris Raya, Amerika Serikat | |
| Nomor tempat tinggal permanen | `PermanentResidenceNumber` | carte résident permanent, numéro carte résident permanent, numéro résident permanent, permanent resident card, permanent resident card number, permanent resident no, permanent resident no., permanent resident number, pr no, pr no., pr non, pr number, résident permanent no., résident permanent non | Kanada | |
| Nomor telepon | `PhoneNumber` | Brasil: kata kunci juga meliputi`cel`:`celular`,,`fone`,,`móvel`,`número residencial`,`numero residencial`, `telefone` Lainnya:`cell`,`contact`,`fax`,`fax number`,,`mobile`,`phone`,`phone number`,`tel`,`telephone`, `telephone number` | Brasil, Kanada, Prancis, Jerman, Italia, Spanyol, Inggris Raya, Amerika Serikat | Ini termasuk nomor bebas pulsa di Amerika Serikat dan nomor faks. Jika kata kunci berada di dekat data, nomor tersebut tidak harus menyertakan kode negara. Jika kata kunci tidak dekat dengan data, nomor tersebut harus menyertakan kode negara. |
| Kode Pos | `PostalCode` | Tidak ada | Kanada | |
| Registrasi Geral (RG) | `RgNumber` | Ya. Kata kunci yang berbeda berlaku untuk negara yang berbeda. Untuk detailnya, lihat tabel **nomor identifikasi wajib pajak perorangan** nanti di bagian ini. | Brazil | |
| Nomor Pokok Wajib Pajak (SIN) | `SocialInsuranceNumber` | canadian id, numéro d'assurance sociale, social insurance number, sin | Kanada | |
| Nomor Jaminan Sosial (SSN) | `Ssn` | Spanyol `número de la seguridad social` —`social security no.`,`social security no`,. `número de la seguridad social`,`social security number`,`socialsecurityno#`,`ssn`, `ssn#` Amerika Serikat `social security` —`ss#`,, `ssn` | Spanyol, Amerika Serikat | |
| Nomor identifikasi wajib pajak atau referensi | `TaxId` | Ya. Kata kunci yang berbeda berlaku untuk negara yang berbeda. Untuk detailnya, lihat tabel **nomor identifikasi wajib pajak perorangan** nanti di bagian ini.. | Prancis, Jerman, Spanyol, Britania Raya | Ini termasuk TIN (Prancis); Steueridentifikationsnummer (Jerman); CIF (Spanyol); dan TRN, UTR (Britania Raya). |
| Kode Pos | `ZipCode` | zip code, zip\$14 | Amerika Serikat | Kode pos Amerika Serikat. |
| Alamat surat-menyurat | `Address` | Tidak ada | Australia, Kanada, Prancis, Jerman, Italia, Spanyol, Inggris Raya, Amerika Serikat | Meskipun kata kunci tidak diperlukan, deteksi memerlukan alamat untuk menyertakan nama kota atau tempat dan kode pos atau kode pos. |
| Alamat surat elektronik | `EmailAddress` | Tidak ada | Setiap | |
| Koordinat Global Positioning System (GPS) | `LatLong` | coordinate, coordinates, lat long, latitude longitude, location, position | Setiap | CloudWatch Log dapat mendeteksi koordinat GPS jika koordinat lintang dan bujur disimpan sebagai pasangan dan mereka dalam format Derajat Desimal (DD), misalnya, 41.948614, -87.655311. Support tidak menyertakan koordinat dalam format Degrees Decimal Minutes (DDM), misalnya format 41° 56.9168'N 87° 39.3187'W, atau Derajat, Menit, Detik (DMS), misalnya 41° 56'55.0104 “N 87° 39'19.1196"W. |
| Nama lengkap | `Name` | Tidak ada | Setiap | CloudWatch Log hanya dapat mendeteksi nama lengkap. Dukungan terbatas pada set karakter Latin. |
| Nomor Identifikasi Kendaraan (VIN) | `VehicleIdentificationNumber` | Fahrgestellnummer, niv, numarul de identificare, numarul seriei de sasiu, serie sasiu, numer VIN, Número de Identificação do Veículo, Número de Identificación de Automóviles, numéro d'identification du véhicule, vehicle identification number, vin, VIN numeris | Setiap | CloudWatch Log dapat mendeteksi VINs yang terdiri dari urutan 17 karakter dan mematuhi standar ISO 3779 dan 3780. Standar ini dirancang untuk penggunaan di seluruh dunia. |
## Kata kunci untuk nomor identifikasi surat izin mengemudi
Untuk mendeteksi berbagai jenis nomor identifikasi SIM, CloudWatch Log membutuhkan kata kunci untuk berada di dekat nomor. Tabel berikut mencantumkan kata kunci yang dikenali CloudWatch Log untuk negara dan wilayah tertentu.
| Negara atau wilayah | Kata kunci |
| --- | --- |
| Australia | dl\$1 dl:, dl :, dlno\$1 driver licence, driver license, driver permit, drivers lic., drivers licence, driver's licence, drivers license, driver's license, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| Austria | führerschein, fuhrerschein, führerschein republik österreich, fuhrerschein republik osterreich |
| Belgium | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer, numéro permis conduire, permis de conduire, rijbewijs, rijbewijsnummer |
| Bulgaria | превозно средство, свидетелство за управление на моторно, свидетелство за управление на мпс, сумпс, шофьорска книжка |
| Canada | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit, permis de conduire |
| Croatia | vozačka dozvola |
| Cyprus | άδεια οδήγησης |
| Czech Republic | číslo licence, císlo licence řidiče, číslo řidičského průkazu, ovladače lic., povolení k jízdě, povolení řidiče, řidiči povolení, řidičský prúkaz, řidičský průkaz |
| Denmark | kørekort, kørekortnummer |
| Estonia | juhi litsentsi number, juhiloa number, juhiluba, juhiluba number |
| Finland | ajokortin numero, ajokortti, förare lic., körkort, körkort nummer, kuljettaja lic., permis de conduire |
| France | permis de conduire |
| Germany | fuehrerschein, fuehrerschein- nr, fuehrerscheinnummer, fuhrerschein, führerschein, fuhrerschein- nr, führerschein- nr, fuhrerscheinnummer, führerscheinnummer |
| Greece | δεια οδήγησης, adeia odigisis |
| Hungary | illesztőprogramok lic, jogosítvány, jogsi, licencszám, vezető engedély, vezetői engedély |
| Ireland | ceadúnas tiomána |
| Italy | patente di guida, patente di guida numero, patente guida, patente guida numero |
| Latvia | autovadītāja apliecība, licences numurs, vadītāja apliecība, vadītāja apliecības numurs, vadītāja atļauja, vadītāja licences numurs, vadītāji lic. |
| Lithuania | vairuotojo pažymėjimas |
| Luxembourg | fahrerlaubnis, führerschäin |
| Malta | liċenzja tas-sewqan |
| Netherlands | permis de conduire, rijbewijs, rijbewijsnummer |
| Poland | numer licencyjny, prawo jazdy, zezwolenie na prowadzenie |
| Portugal | carta de condução, carteira de habilitação, carteira de motorist, carteira habilitação, carteira motorist, licença condução, licença de condução, número de licença, número licença, permissão condução, permissão de condução |
| Romania | numărul permisului de conducere, permis de conducere |
| Slovakia | číslo licencie, číslo vodičského preukazu, ovládače lic., povolenia vodičov, povolenie jazdu, povolenie na jazdu, povolenie vodiča, vodičský preukaz |
| Slovenia | vozniško dovoljenje |
| Spain | carnet conducer, el carnet de conducer, licencia conducer, licencia de manejo, número carnet conducer, número de carnet de conducer, número de permiso conducer, número de permiso de conducer, número licencia conducer, número permiso conducer, permiso conducción, permiso conducer, permiso de conducción |
| Sweden | ajokortin numero, dlno\$1 ajokortti, drivere lic., förare lic., körkort, körkort nummer, körkortsnummer, kuljettajat lic. |
| Britania Raya | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
| Amerika Serikat | dl\$1, dl:, dlno\$1, driver licence, driver licences, driver license, driver licenses, driver permit, drivers lic., drivers licence, driver's licence, drivers licences, driver's licences, drivers license, driver's license, drivers licenses, driver's licenses, drivers permit, driver's permit, drivers permit number, driving licence, driving license, driving permit |
## Kata kunci untuk nomor induk kependudukan
Untuk mendeteksi berbagai jenis nomor identifikasi nasional, CloudWatch Log membutuhkan kata kunci untuk berada di dekat nomor. Hal ini termasuk pengenal Documento Nacional de Identidad (DNI) (Spain), kode French National Institute for Statistics and Economic Studies (INSEE), nomor German National Identity Card, dan nomor Registro Geral (RG) (Brazil).
Tabel berikut mencantumkan kata kunci yang dikenali CloudWatch Log untuk negara dan wilayah tertentu.
| Negara atau wilayah | Kata kunci |
| --- | --- |
| Brazil | registro geral, rg |
| France | assurance sociale, carte nationale d’identité, cni, code sécurité sociale, French social security number, fssn\$1, insee, insurance number, national id number, nationalid\$1, numéro d'assurance, sécurité sociale, sécurité sociale non., sécurité sociale numéro, social, social security, social security number, socialsecuritynumber, ss\$1, ssn, ssn\$1 |
| Germany | ausweisnummer, id number, identification number, identity number, insurance number, personal id, personalausweis |
| Italy | codice fiscal, dati anagrafici, ehic, health card, health insurance card, p. iva, partita i.v.a., personal data, tax code, tessera sanitaria |
| Spain | dni, dni\$1, dninúmero\$1, documento nacional de identidad, identidad único, identidadúnico\$1, insurance number, national identification number, national identity, nationalid\$1, nationalidno\$1, número nacional identidad, personal identification number, personal identity no, unique identity number, uniqueid\$1 |
## Kata kunci untuk nomor paspor
Untuk mendeteksi berbagai jenis nomor paspor, CloudWatch Log membutuhkan kata kunci untuk berada di dekat nomor. Tabel berikut mencantumkan kata kunci yang dikenali CloudWatch Log untuk negara dan wilayah tertentu.
| Negara atau wilayah | Kata kunci |
| --- | --- |
| Canada | passeport, passeport\$1, passport, passport\$1, passportno, passportno\$1 |
| France | numéro de passeport, passeport, passeport\$1, passeport \$1, passeportn °, passeport n °, passeportNon, passeport non |
| Germany | ausstellungsdatum, ausstellungsort, geburtsdatum, passport, passports, reisepass, reisepass–nr, reisepassnummer |
| Italy | italian passport number, numéro passeport, numéro passeport italien, passaporto, passaporto italiana, passaporto numero, passport number, repubblica italiana passaporto |
| Spain | españa pasaporte, libreta pasaporte, número pasaporte, pasaporte, passport, passport book, passport no, passport number, spain passport |
| Britania Raya | passeport \$1, passeport n °, passeportNon, passeport non, passeportn °, passport \$1, passport no, passport number, passport\$1, passportid |
| Amerika Serikat | passport, travel document |
## Kata kunci untuk nomor pokok wajib pajak
Untuk mendeteksi berbagai jenis identifikasi wajib pajak dan nomor referensi, CloudWatch Log membutuhkan kata kunci untuk berada di dekat angka-angka tersebut. Tabel berikut mencantumkan kata kunci yang dikenali CloudWatch Log untuk negara dan wilayah tertentu.
| Negara atau wilayah | Kata kunci |
| --- | --- |
| Brazil | cadastro de pessoa física, cadastro de pessoa fisica, cadastro de pessoas físicas, cadastro de pessoas fisicas, cadastro nacional da pessoa jurídica, cadastro nacional da pessoa juridica, cnpj, cpf |
| France | numéro d'identification fiscale, tax id, tax identification number, tax number, tin, tin\$1 |
| Germany | identifikationsnummer, steuer id, steueridentifikationsnummer, steuernummer, tax id, tax identification number, tax number |
| Spain | cif, cif número, cifnúmero\$1, nie, nif, número de contribuyente, número de identidad de extranjero, número de identificación fiscal, número de impuesto corporativo, personal tax number, tax id, tax identification number, tax number, tin, tin\$1 |
| Britania Raya | paye, tax id, tax id no., tax id number, tax identification, tax identification\$1, tax no., tax number, tax reference, tax\$1, taxid\$1, temporary reference number, tin, trn, unique tax reference, unique taxpayer reference, utr |
| Amerika Serikat | nomor identifikasi wajib pajak individu, itin, i.t.i.n. |
## Pengidentifikasi data ARNs untuk informasi identitas pribadi (PII)
Tabel berikut mencantumkan Nama Sumber Daya Amazon (ARNs) untuk pengidentifikasi data informasi identitas pribadi (PII) yang dapat Anda tambahkan ke kebijakan perlindungan data Anda.
| Pengidentifikasi data PII ARNs |
| --- |
| arn:aws:dataprotection::aws:data-identifier/Address |
| arn:aws:dataprotection::aws:data-identifier/CepCode-BR |
| arn:aws:dataprotection::aws:data-identifier/Cnpj-BR |
| arn:aws:dataprotection::aws:data-identifier/CpfCode-BR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-AT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-AU |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-BE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-BG |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-CA |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-CY |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-CZ |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-DE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-DK |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-EE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-ES |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-FI |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-FR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-GB |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-GR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-HR |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-HU |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-IE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-IT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-LT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-LU |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-LV |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-MT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-NL |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-PL |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-PT |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-RO |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-SE |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-SI |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-SK |
| arn:aws:dataprotection::aws:data-identifier/DriversLicense-US |
| arn:aws:dataprotection::aws:data-identifier/ElectoralRollNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/EmailAddress |
| arn:aws:dataprotection::aws:data-identifier/IndividualTaxIdentificationNumber-US |
| arn:aws:dataprotection::aws:data-identifier/InseeCode-FR |
| arn:aws:dataprotection::aws:data-identifier/LatLong |
| arn:aws:dataprotection::aws:data-identifier/Name |
| arn:aws:dataprotection::aws:data-identifier/NationalIdentificationNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/NationalIdentificationNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/NationalIdentificationNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/NieNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/NifNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-CA |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/PassportNumber-US |
| arn:aws:dataprotection::aws:data-identifier/PermanentResidenceNumber-CA |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-BR |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-DE |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-ES |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-FR |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-GB |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-IT |
| arn:aws:dataprotection::aws:data-identifier/PhoneNumber-US |
| arn:aws:dataprotection::aws:data-identifier/PostalCode-CA |
| arn:aws:dataprotection::aws:data-identifier/RgNumber-BR |
| arn:aws:dataprotection::aws:data-identifier/SocialInsuranceNumber-CA |
| arn:aws:dataprotection::aws:data-identifier/Ssn-ES |
| arn:aws:dataprotection::aws:data-identifier/Ssn-US |
| arn:aws:dataprotection::aws:data-identifier/TaxId-DE |
| arn:aws:dataprotection::aws:data-identifier/TaxId-ES |
| arn:aws:dataprotection::aws:data-identifier/TaxId-FR |
| arn:aws:dataprotection::aws:data-identifier/TaxId-GB |
| arn:aws:dataprotection::aws:data-identifier/VehicleIdentificationNumber |
| arn:aws:dataprotection::aws:data-identifier/ZipCode-US |
# Pengidentifikasi data khusus
**Topics**
+ [Apa itu pengidentifikasi data khusus?](#what-are-custom-data-identifiers)
+ [Kendala pengenal data kustom](#custom-data-identifiers-constraints)
+ [Menggunakan pengidentifikasi data khusus di konsol](#using-custom-data-identifiers-console)
+ [Menggunakan pengidentifikasi data khusus dalam kebijakan perlindungan data Anda](#using-custom-data-identifiers)
## Apa itu pengidentifikasi data khusus?
Pengidentifikasi data kustom (CDIs) memungkinkan Anda menentukan ekspresi reguler kustom Anda sendiri yang dapat digunakan dalam kebijakan perlindungan data Anda. Dengan menggunakan pengidentifikasi data khusus, Anda dapat menargetkan kasus penggunaan informasi identitas pribadi (PII) khusus bisnis yang tidak dapat diberikan oleh pengidentifikasi data [terkelola](CWL-managed-data-identifiers.md). Misalnya, Anda dapat menggunakan pengenal data khusus untuk mencari karyawan khusus perusahaan. IDs Pengidentifikasi data khusus dapat digunakan bersama dengan pengidentifikasi data terkelola.
## Kendala pengenal data kustom
CloudWatch Log pengidentifikasi data kustom memiliki batasan berikut:
+ Maksimal 10 pengidentifikasi data kustom didukung untuk setiap kebijakan perlindungan data.
+ Nama pengidentifikasi data kustom memiliki panjang maksimum 128 karakter. Karakter berikut didukung:
+ Alfanumerik: (A-za-Z0-9)
+ Simbol: ('\$1' \$1 '-')
+ RegExmemiliki panjang maksimum 200 karakter. Karakter berikut didukung:
+ Alfanumerik: (A-za-Z0-9)
+ Simbol: ('\$1' \$1 '\$1' \$1 '=' \$1 '@' \$1'/' \$1 ';' \$1 ',' \$1 '-' \$1 '')
+ RegExkarakter yang dipesan: ('^' \$1 '\$1' \$1 '?' \$1 '[' \$1 ']' \$1 '\$1' \$1 '\$1' \$1 '\$1'\$1 '\$1' \$1 '\$1' \$1 '\$1'. ')
+ Pengidentifikasi data kustom tidak dapat berbagi nama yang sama dengan pengenal data terkelola.
+ Pengidentifikasi data khusus dapat ditentukan dalam kebijakan perlindungan data tingkat akun atau dalam kebijakan perlindungan data tingkat grup log. Mirip dengan pengidentifikasi data terkelola, pengidentifikasi data kustom yang ditentukan dalam kebijakan tingkat akun bekerja dalam kombinasi dengan pengidentifikasi data kustom yang ditentukan dalam kebijakan tingkat grup log.
## Menggunakan pengidentifikasi data khusus di konsol
Saat Anda menggunakan CloudWatch konsol untuk membuat atau mengedit kebijakan perlindungan data, untuk menentukan pengenal data kustom, Anda cukup memasukkan nama dan ekspresi reguler untuk pengenal data. Misalnya, Anda mungkin memasukkan **Employee\$1ID** nama dan **EmployeeID-\$1d\$19\$1** sebagai ekspresi reguler. Ekspresi reguler ini akan mendeteksi dan menutupi peristiwa log dengan sembilan angka setelahnya`EmployeeID-`. Sebagai contoh, `EmployeeID-123456789`.
## Menggunakan pengidentifikasi data khusus dalam kebijakan perlindungan data Anda
Jika Anda menggunakan AWS API AWS CLI atau untuk menentukan pengenal data kustom, Anda harus menyertakan nama pengenal data dan ekspresi reguler dalam kebijakan JSON yang digunakan untuk menentukan kebijakan perlindungan data. Kebijakan perlindungan data berikut mendeteksi dan menutupi peristiwa log yang membawa karyawan khusus perusahaan. IDs
1. Buat `Configuration` blok dalam kebijakan perlindungan data Anda.
1. Masukkan a `Name` untuk pengenal data kustom Anda. Misalnya, **EmployeeId**.
1. Masukkan a `Regex` untuk pengenal data kustom Anda. Misalnya, **EmployeeID-\$1d\$19\$1**. Ekspresi reguler ini akan cocok dengan peristiwa log `EmployeeID-` yang berisi sembilan digit `EmployeeID-` setelahnya. Sebagai contoh, `EmployeeID-123456789`.
1. Lihat pengenal data kustom berikut dalam pernyataan kebijakan.
```
{
"Name": "example_data_protection_policy",
"Description": "Example data protection policy with custom data identifiers",
"Version": "2021-06-01",
"Configuration": {
"CustomDataIdentifier": [
{"Name": "EmployeeId", "Regex": "EmployeeId-\\d{9}"}
]
},
"Statement": [
{
"Sid": "audit-policy",
"DataIdentifier": [
"EmployeeId"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"EmployeeId"
],
"Operation": {
"Deidentify": {
"MaskConfig": {
}
}
}
}
]
}
```
1. (Opsional) Lanjutkan untuk menambahkan **pengidentifikasi data kustom** tambahan ke `Configuration` blok sesuai kebutuhan. Kebijakan perlindungan data saat ini mendukung maksimal 10 pengidentifikasi data kustom.