A company runs an application that sends logs to a log group in Amazon CloudWatch Logs. The email addresses of the application users are in the logs. The company’s developers need to view the logs in CloudWatch Logs. A security engineer must ensure that the developers who access the log group cannot see the user email addresses.
Which solution will meet this requirement?
A. Use Amazon Macie to scan the log group. Configure Macie to use a custom data identifier that uses a regular expression to identify an email address pattern. Activate automated data discovery in Macie.
B. Create an AWS Key Management Service (AWS KMS) key. Configure the log group to use the key to encrypt the logs. Configure the key policy to deny access to the IAM role that the developers assume to use CloudWatch Logs.
C. Create a subscription filter for the log group. Configure the log subscription to send the log data to an AWS Lambda function. Program the Lambda function to parse the log entries and to mask values that are email addresses.
D. Configure a data protection policy for the log group. Specify the AWS managed data identifier of EmailAddress for the type of data to mask. Activate data protection for the log group.
D
一家公司運行一個應用程序,該程序將日志發送到亞馬遜云監控日志(Amazon CloudWatch Logs)中的一個日志組。應用程序用戶的電子郵件地址包含在日志中。公司的開發人員需要查看 CloudWatch Log 中的日志。安全工程師必須確保訪問該日志組的開發人員無法看到用戶電子郵件地址。
哪種解決方案能滿足這一要求?
公司應用程序日志含用戶郵箱地址,開發人員需查看日志,安全工程師要確保開發人員訪問日志組時看不到郵箱地址,需找出滿足此要求的方案。
技巧:排除明顯錯誤選項,在沒有明顯錯誤的選項中選擇最合理的選項。
A. 不正確。使用 Amazon Macie 掃描日志組。配置 Macie 使用通過正則表達式識別郵箱地址模式的自定義數據標識符。在 Macie 中激活自動化數據發現。Amazon Macie 主要用于數據發現和分類,雖能識別郵箱地址,但不能直接對日志中的郵箱地址進行掩碼處理,無法滿足開發人員查看日志時看不到郵箱地址的要求。
B. 不正確。創建 AWS Key Management Service(AWS KMS)密鑰。配置日志組使用該密鑰加密日志。配置密鑰策略,拒絕開發人員用于使用 CloudWatch Log 的身份和訪問管理(Identity and Access Management,IAM)角色訪問該密鑰。此方法是通過限制對加密密鑰的訪問來限制對日志的訪問,開發人員無法解密日志就無法查看,但這會導致開發人員完全無法查看日志,而非僅隱藏郵箱地址,不滿足要求。
C. 不正確。為日志組創建訂閱過濾器。配置日志訂閱將日志數據發送到 AWS Lambda 函數。對 Lambda 函數進行編程,使其解析日志條目并對郵箱地址值進行掩碼處理。通過將日志數據發送到 Lambda 函數并編程處理,能直接對日志中的郵箱地址進行掩碼,開發人員查看的日志中郵箱地址被隱藏,滿足要求。
D. 正確。為日志組配置數據保護策略。指定用于要掩碼數據類型的 AWS 托管數據標識符 Email Address。激活日志組的數據保護。配置數據保護策略并指定郵箱地址標識符后,激活數據保護可自動對日志中的郵箱地址進行掩碼,開發人員查看日志時看不到郵箱地址,滿足要求。
Amazon Macie:它是一項數據安全服務,可掃描 AWS 環境中的數據,能使用自定義數據標識符(通過正則表達式識別特定模式)來識別敏感數據,還可激活自動化數據發現功能,但主要側重于數據發現和分類,并非直接對日志中的敏感數據進行處理隱藏。
AWS Key Management Service(AWS KMS):用于創建和管理加密密鑰,可配置日志組使用密鑰加密日志,通過密鑰策略控制對密鑰的訪問,進而控制對加密日志的訪問,但這種方式主要是限制對日志的訪問權限,而非隱藏日志中的特定敏感信息。
AWS Lambda:是一項無服務器計算服務,可創建訂閱過濾器將日志數據發送到 Lambda 函數,通過編程 Lambda 函數對日志條目進行解析,并對敏感信息(如郵箱地址)進行掩碼處理,能直接滿足隱藏日志中敏感信息的需求。
數據保護策略:可為日志組配置數據保護策略,指定要掩碼的數據類型(如使用 AWS 托管的數據標識符識別郵箱地址),激活數據保護后,可自動對日志中的指定類型數據進行掩碼處理,直接滿足隱藏敏感信息的要求。