本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 了解資料保護政策
**Topics**
+ [什麼是資料保護政策?](#what-are-data-protection-policies)
+ [資料保護政策的結構如何?](#overview-of-data-protection-policies)
## 什麼是資料保護政策?
CloudWatch Logs 使用**資料保護政策**來選取您要掃描的敏感資料,以及您想要執行以保護資料的動作。若要選擇感興趣的敏感資料,請使用[資料識別符](CWL-managed-data-identifiers.md)。然後,CloudWatch Logs 資料資料保護會使用機器學習和模式比對來偵測敏感資料。若要根據找到的資料識別符採取行動,您可以定義**稽核**和**去識別化**操作。這些操作可讓您記錄找到 (或未找到) 的敏感資料,並在檢視日誌事件時遮罩敏感資料。
## 資料保護政策的結構如何?
如下圖所示,資料保護政策文件包含以下元素:
+ 在文件最上方選用的整體政策資訊
+ 定義稽核和去識別動作的一條陳述式
每個 CloudWatch Logs 日誌群組只能定義一種資料保護政策。資料保護政策可以有一或多個拒絕或去識別化陳述式,但只能有一個稽核陳述式。
### 資料保護政策的 JSON 屬性
資料保護政策需要下列基本政策資訊才能識別:
+ **Name** - 政策名稱。
+ **Description** (選用) - 政策描述。
+ **Version** - 政策語言版本。目前版本是 2021-06-01。
+ **Statement** - 指定資料保護政策動作的陳述式清單。
```
{
"Name": "CloudWatchLogs-PersonalInformation-Protection",
"Description": "Protect basic types of sensitive data",
"Version": "2021-06-01",
"Statement": [
...
]
}
```
### 政策陳述式的 JSON 屬性
政策陳述式會設定資料保護操作的偵測內容。
+ **Sid** (選用) - 陳述式識別符。
+ **DataIdentifier** – CloudWatch Logs 應掃描的敏感資料。例如,姓名、地址或電話號碼。
+ **操作** – 后續動作 (**稽核**或**去識別**)。CloudWatch Logs 會在找到敏感資料時執行這些動作。
```
{
...
"Statement": [
{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/Address"
],
"Operation": {
"Audit": {
"FindingsDestination": {}
}
}
},
```
### 政策陳述式操作的 JSON 屬性
政策陳述式會設定下列其中一項資料保護操作。
+ **稽核** – 發出指標和問題清單報告,而不會中斷日誌記錄。符合的字串會增加 **LogEventsWithFindings** 指標,CloudWatch Logs 將此指標發佈到 CloudWatch 中的 **AWS/Logs** 命名空間。您可以使用這些指標建立警示。
如需問題清單報告的範例,請參閱 [稽核問題清單報告](mask-sensitive-log-data-audit-findings.md)。
如需有關 CloudWatch Logs 傳送至 CloudWatch 之指標的詳細資訊,請參閱 [使用 CloudWatch 指標監控使用量](CloudWatch-Logs-Monitoring-CloudWatch-Metrics.md)。
+ **去識別** – 遮罩敏感資料,而不會中斷日誌記錄。