機密データの保護
Amazon CloudWatch Logs は、データ保護ポリシーを使用して機密データを識別し、そのデータを保護するためのアクションを定義します。目的の機密データを選択するには、データ識別子を使用します。そうすることで、Amazon CloudWatch Logs が機械学習とパターンマッチングを使用して機密データを検出するようになります。監査およびマスキングオペレーションを定義して、機密データの検出結果をログに記録し、ログイベントを表示するときに機密データをマスクできます。
詳細については、「機密ログデータをマスキングで保護する」を参照してください。
Amazon Bedrock AgentCore のデータ保護は、アカウントレベルまたはロググループレベルで設定できます。アカウントレベルのデータ保護では、データ保護ルールがアカウントのすべてのログに適用されます。ログレベルのデータ保護では、データ保護ルールをアカウントの特定のロググループに適用できます。これにより、アカウントで PII データをマスクする方法をきめ細かく制御できます。
アカウントレベルでデータ保護を設定するには
-
Amazon CloudWatch コンソールを開きます。
-
ナビゲーションペインで [設定] を選択します。
-
[ログ] タブを選択します。
-
[データ保護アカウントポリシーを設定] を選択します。
-
データに関連するデータ識別子を指定します。
-
事前定義されたデータ識別子を使用するには、[マネージドデータ識別子] ドロップダウンで、データに関連するデータ識別子を選択します。
-
カスタムデータ識別子を使用するには、[カスタムデータ識別子を追加] を選択してから、識別子の名前と保護するデータの正規表現パターンを指定します。
-
-
(オプション) 監査の検出結果の送信先を選択します。
-
監査の検出結果を CloudWatch ログに送信するには、[Amazon CloudWatch Logs] を選択してから、送信先のロググループを選択します。
-
監査の検出結果を Firehose ストリームに送信するには、[Amazon Data Firehose] を選択してから、送信先の Firehose ストリームを選択します。
-
監査の検出結果を Amazon S3 バケットに送信するには、[Amazon S3] を選択してから、送信先の Amazon S3 バケットを選択します。
-
-
[Activate data protection] (データ保護をアクティブにする) を選択します。
ロググループレベルでデータ保護を設定するには
-
Amazon CloudWatch コンソールを開きます。
-
ナビゲーションパネルで、[ログ]、[ログ管理] の順に選択します。
-
[ロググループ] タブを選択し、データ保護を有効にするロググループを選択してから、[データ保護ポリシーを作成] を選択します。
-
データに関連するデータ識別子を指定します。
-
事前定義されたデータ識別子を使用するには、[マネージドデータ識別子] ドロップダウンで、データに関連するデータ識別子を選択します。
-
カスタムデータ識別子を使用するには、[カスタムデータ識別子を追加] を選択してから、識別子の名前と保護するデータの正規表現パターンを指定します。
-
-
(オプション) 監査の検出結果の送信先を選択します。
-
監査の検出結果を CloudWatch ログに送信するには、[Amazon CloudWatch Logs] を選択してから、送信先のロググループを選択します。
-
監査の検出結果を Firehose ストリームに送信するには、[Amazon Data Firehose] を選択してから、送信先の Firehose ストリームを選択します。
-
監査の検出結果を Amazon S3 バケットに送信するには、[Amazon S3] を選択してから、送信先の Amazon S3 バケットを選択します。
-
-
[Activate data protection] (データ保護をアクティブにする) を選択します。
