1 つのロググループ用のデータ保護ポリシーを作成する - Amazon CloudWatch Logs
コンソールAWS CLI

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

1 つのロググループ用のデータ保護ポリシーを作成する

CloudWatch Logs コンソールまたは AWS CLI コマンドを使用して、機密データをマスクするデータ保護ポリシーを作成できます。

各ロググループに 1 つのデータ保護ポリシーを割り当てることができます。各データ保護ポリシーで、複数の種類の情報を監査できます。各データ保護ポリシーには、監査ステートメントを 1 つ含めることができます。

コンソール

コンソールを使用してデータ保護ポリシーを作成するには

  1. https://console.aws.amazon.com/cloudwatch/ で CloudWatch コンソールを開きます。

  2. ナビゲーションペインで、[ログ][ロググループ] の順に選択します。

  3. ロググループの名前を選択します。

  4. [Actions] (アクション)、[Create data protection policy] (データ保護ポリシーを作成) を選択します。

  5. [Data identifiers] (データ識別子) で、このロググループで監査およびマスクするデータの種類を選択します。選択ボックスに入力して、必要な識別子を見つけることができます。

    ログデータやビジネスに関連するデータ識別子のみを選択することをお勧めします。多くの種類のデータを選択すると、誤検出につながる可能性があります。

    保護できるデータの種類の詳細については、「保護できるデータの種類」を参照してください。

  6. (オプション) 監査結果の送信先となるサービスを 1 つまたは複数選択します。監査結果をこれらのサービスのいずれにも送信しないことを選択した場合でも、選択した機密データタイプは引き続きマスクされます。

  7. [Activate data protection] (データ保護をアクティブにする) を選択します。

AWS CLI

を使用してデータ保護ポリシー AWS CLI を作成するには

  1. テキストエディタを使用して DataProtectionPolicy.json という名前のポリシーファイルを作成します。ポリシーの構文については、次のセクションを参照してください。

  2. 次のコマンドを入力します。

    aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2

AWS CLI または API オペレーションのデータ保護ポリシー構文

AWS CLI コマンドまたは API オペレーションで使用する JSON データ保護ポリシーを作成する場合、ポリシーには 2 つの JSON ブロックを含める必要があります。

  • 最初のブロックには、DataIdentifer 配列と Audit アクションを含む Operation プロパティの両方が含まれている必要があります。DataIdentifer 配列には、マスクする機密データの種類が表示されます。利用できるすべてのオプションについての詳細は、「保護できるデータの種類」を参照してください。

    Audit アクションを含む Operation プロパティは、機密データ用語を検索するために必要です。この Audit アクションには FindingsDestination オブジェクトが含まれている必要があります。オプションで FindingsDestination オブジェクトを使用して、監査結果レポートの送信先を 1 つ、または複数リストできます。ロググループ、Amazon Kinesis Data Firehose ストリーム、S3 バケットなどの送信先を指定する場合、それらは既に存在している必要があります。監査結果レポートの例については、「監査結果レポート」を参照してください。

  • 2 番目のブロックには、DataIdentifer 配列と Deidentify アクションを含む Operation プロパティの両方が含まれている必要があります。DataIdentifer 配列は、ポリシーの最初のブロックにある DataIdentifer 配列と完全に一致する必要があります。

    Deidentify アクションを含む Operation プロパティが実際にデータをマスクするものであり、そのアクションには "MaskConfig": {} オブジェクトが含まれている必要があります。 "MaskConfig": {} オブジェクトは空である必要があります。

E メールアドレスと米国の運転免許証をマスクするデータ保護ポリシーの例を次に示します。

{
    "Name": "data-protection-policy",
    "Description": "test description",
    "Version": "2021-06-01",
    "Statement": [{
            "Sid": "audit-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Audit": {
                    "FindingsDestination": {
                        "CloudWatchLogs": {
                            "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
                        },
                        "Firehose": {
                            "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
                        },
                        "S3": {
                            "Bucket": "EXISTING_BUCKET"
                        }
                    }
                }
            }
        },
        {
            "Sid": "redact-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Deidentify": {
                    "MaskConfig": {}
                }
            }
        }
    ]
}