翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
セキュリティ OU — ログアーカイブアカウント
ご意見をお寄せください。簡単なアンケート |
ログアーカイブアカウントは、インフラストラクチャ、サービス、アプリケーションのログタイプを一元化する場所です。このアカウントの詳細については、AWS 「セキュリティリファレンスアーキテクチャ (AWS SRA)」を参照してください。ログ専用のアカウントを使用すると、すべてのログタイプに一貫したアラートを適用し、インシデント対応者がこれらのログの集計に 1 か所からアクセスできることを確認できます。セキュリティコントロールとデータ保持ポリシーはすべて 1 か所から設定できるため、プライバシー運用のオーバーヘッドを簡素化できます。次の図は、 AWS ログアーカイブアカウントで設定されているセキュリティサービスとプライバシーサービスを示しています。
集中ログストレージ
ログファイル ( AWS CloudTrail ログなど) には、個人データと見なされる可能性のある情報が含まれている場合があります。一部の組織では、可視性の目的で、アカウント AWS リージョン 間で CloudTrail ログを 1 つの一元的な場所に集約するために、組織の証跡を使用することを選択しています。詳細については、このガイドの「AWS CloudTrail」を参照してください。CloudTrail ログの一元化を実装する場合、通常、ログは 1 つのリージョンの Amazon Simple Storage Service (Amazon S3) バケットに保存されます。
組織における個人データの定義と適用される地域のプライバシー規制によっては、クロスボーダーデータ転送を検討する必要がある場合があります。組織が地域のプライバシー規制のデータ転送要件を満たす必要がある場合は、以下のオプションがサポートに役立ちます。
-
組織が複数の国のデータ対象者 AWS クラウド に でサービスを提供している場合は、最も厳格なデータレジデンシー要件がある国のすべてのログを集約することを選択できます。例えば、ドイツで運用していて、最も厳しい要件がある場合は、ドイツで収集されたデータがドイツの境界から離れないように
eu-central-1AWS リージョン 、 の S3 バケットにデータを集約できます。このオプションでは、CloudTrail で 1 つの組織の証跡を設定して、すべてのアカウントと からターゲットリージョン AWS リージョン にログを集約できます。 -
データがコピーされて別のリージョンに集約される AWS リージョン 前に、 に残す必要がある個人データを編集します。例えば、ログを別のリージョンに転送する前に、アプリケーションのホストリージョンの個人データをマスクできます。個人データのマスキングの詳細については、このガイドのAmazon Data Firehose「」セクションを参照してください。
法律顧問と協力して、対象となる個人データと、許可される AWS Region-to-Region転送を決定します。
