翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
データ保護ポリシーを理解する
データ保護ポリシーとは
CloudWatch ログは、データ保護ポリシーを使用して、スキャンする機密データと、そのデータを保護するために実行するアクションを選択します。対象の機密データを選択するには、データ識別子 を使用します。 CloudWatch ログデータ保護は、機械学習とパターンマッチングを使用して機密データを検出します。検出されたデータ識別子に基づいてアクションを実行するには、Audit (監査) および De-identify (匿名化) 操作を定義できます。これらの操作は、検出された (または検出されなかった) 機密データをログに記録し、ログイベントが表示されるときに機密データをマスクすることを可能にします。
データ保護ポリシーの構成の仕組み
次の図に示すように、データ保護ポリシードキュメントには次の要素が含まれています。
-
ドキュメントの最上部に記載されるポリシー全体の情報 (任意)
-
監査および匿名化アクションを定義する 1 つのステートメント
Logs ロググループごとに定義できるデータ保護ポリシーは 1 CloudWatch つだけです。データ保護ポリシーには、1 つまたは複数の拒否または識別解除ステートメントと 1 つの監査ステートメントのみを含めることができます。
JSON データ保護ポリシーの プロパティ
データ保護ポリシーでは、識別のために以下の基本ポリシー情報が必要です。
-
Name – ポリシーの名前。
-
Description (オプション) – ポリシーの説明。
-
Version – ポリシー言語のバージョン。現在のバージョンは 2021-06-01. です。
-
Statement – データ保護ポリシーアクションを指定するステートメントのリスト。
{ "Name": "CloudWatchLogs-PersonalInformation-Protection", "Description": "Protect basic types of sensitive data", "Version": "2021-06-01", "Statement": [ ... ] }
JSON ポリシーステートメントの プロパティ
ポリシーステートメントは、データ保護オペレーションの検出コンテキストを設定します。
-
Sid (オプション) – ステートメント識別子。
-
DataIdentifier – CloudWatch Logs がスキャンする機密データ。名前、住所、電話番号などです。
-
オペレーション – 監査または識別解除のいずれかのフォローアップアクション。 CloudWatch ログは、機密データが見つかったときにこれらのアクションを実行します。
{ ... "Statement": [ { "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/Address" ], "Operation": { "Audit": { "FindingsDestination": {} } } },
JSON ポリシーステートメントオペレーションの プロパティ
ポリシーステートメントは、次のデータ保護オペレーションのいずれかを設定します。
-
Audit – ロギングを中断することなく、メトリクスと結果レポートを発行します。一致する文字列は、 CloudWatch Logs が の AWS/Logs 名前空間に発行するLogEventsWithFindingsメトリクスをインクリメントします CloudWatch。これらのメトリクスは、アラームを作成するために使用できます。
結果レポートの例については、「監査結果レポート」を参照してください。
CloudWatch Logs が に送信するメトリクスの詳細については、 CloudWatch「」を参照してください CloudWatch メトリクスによるモニタリング。
-
De-identify – ロギングを中断することなく機密データをマスクします。