データ保護ポリシーを理解する - Amazon CloudWatch Logs

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

データ保護ポリシーを理解する

データ保護ポリシーとは

CloudWatch ログは、データ保護ポリシーを使用して、スキャンする機密データと、そのデータを保護するために実行するアクションを選択します。対象の機密データを選択するには、データ識別子 を使用します。 CloudWatch ログデータ保護は、機械学習とパターンマッチングを使用して機密データを検出します。検出されたデータ識別子に基づいてアクションを実行するには、Audit (監査) および De-identify (匿名化) 操作を定義できます。これらの操作は、検出された (または検出されなかった) 機密データをログに記録し、ログイベントが表示されるときに機密データをマスクすることを可能にします。

データ保護ポリシーの構成の仕組み

次の図に示すように、データ保護ポリシードキュメントには次の要素が含まれています。

  • ドキュメントの最上部に記載されるポリシー全体の情報 (任意)

  • 監査および匿名化アクションを定義する 1 つのステートメント

Logs ロググループごとに定義できるデータ保護ポリシーは 1 CloudWatch つだけです。データ保護ポリシーには、1 つまたは複数の拒否または識別解除ステートメントと 1 つの監査ステートメントのみを含めることができます。

JSON データ保護ポリシーの プロパティ

データ保護ポリシーでは、識別のために以下の基本ポリシー情報が必要です。

  • Name – ポリシーの名前。

  • Description (オプション) – ポリシーの説明。

  • Version – ポリシー言語のバージョン。現在のバージョンは 2021-06-01. です。

  • Statement – データ保護ポリシーアクションを指定するステートメントのリスト。

{ "Name": "CloudWatchLogs-PersonalInformation-Protection", "Description": "Protect basic types of sensitive data", "Version": "2021-06-01", "Statement": [ ... ] }

JSON ポリシーステートメントの プロパティ

ポリシーステートメントは、データ保護オペレーションの検出コンテキストを設定します。

  • Sid (オプション) – ステートメント識別子。

  • DataIdentifier – CloudWatch Logs がスキャンする機密データ。名前、住所、電話番号などです。

  • オペレーション – 監査または識別解除のいずれかのフォローアップアクション。 CloudWatch ログは、機密データが見つかったときにこれらのアクションを実行します。

{ ... "Statement": [ { "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/Address" ], "Operation": { "Audit": { "FindingsDestination": {} } } },

JSON ポリシーステートメントオペレーションの プロパティ

ポリシーステートメントは、次のデータ保護オペレーションのいずれかを設定します。

  • Audit – ロギングを中断することなく、メトリクスと結果レポートを発行します。一致する文字列は、 CloudWatch Logs が の AWS/Logs 名前空間に発行するLogEventsWithFindingsメトリクスをインクリメントします CloudWatch。これらのメトリクスは、アラームを作成するために使用できます。

    結果レポートの例については、「監査結果レポート」を参照してください。

    CloudWatch Logs が に送信するメトリクスの詳細については、 CloudWatch「」を参照してください CloudWatch メトリクスによるモニタリング

  • De-identify – ロギングを中断することなく機密データをマスクします。