カスタムデータ識別子 - Amazon CloudWatch ログ
SNS カスタムデータ識別子とはカスタムデータ識別子の制約コンソールでのカスタムデータ識別子の使用データ保護ポリシーでカスタムデータ識別子を使用する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

カスタムデータ識別子

SNS カスタムデータ識別子とは

カスタムデータ識別子 (CDI) を使用すると、データ保護ポリシーで使用できる独自のカスタム正規表現を定義できます。カスタムデータ識別子を使用すると、マネージドデータ識別子では提供できないビジネス固有の個人を特定できる情報 (PII) のユースケースをターゲットにすることができます。たとえば、カスタムデータ識別子を使用すると、会社固有の従業員 ID を検索できます。カスタムデータ識別子は、マネージドデータ ID と組み合わせて使用できます。

カスタムデータ識別子の制約

CloudWatch Logs カスタムデータ識別子には、以下の制限があります。

  • 各データ保護ポリシーに使用できるカスタムデータ識別子は最大 10個です。

  • カスタムデータ識別子名に使用できるのは 128 文字までです。以下の文字がサポートされています。

    • 英数字: (a-zA-Z0-9)

    • 記号: ( '_' | '-' )

  • RegEx の最大長は 200 文字です。以下の文字がサポートされています。

    • 英数字: (a-zA-Z0-9)

    • 記号: ( '_' | '#' | '=' | '@' |'/' | ';' | ',' | '-' | ' ' )

    • RegEx 予約文字: ( '^' | '$' | '?' | '[' | ']' | '{' | '}' | '|' | '\\' | '*' | '+' | '.' )

  • カスタムデータ識別子は、マネージドデータ識別子と同じ名前を共有することはできません。

  • カスタムデータ識別子は、アカウントレベルのデータ保護ポリシーまたはロググループレベルのデータ保護ポリシーで指定できます。マネージドデータ識別子と同様に、アカウントレベルのポリシーで定義されたカスタムデータ識別子は、ロググループレベルのポリシーで定義されたカスタムデータ識別子との組み合わせにより機能します。

コンソールでのカスタムデータ識別子の使用

CloudWatch コンソールを使用してデータ保護ポリシーを作成または編集する場合、カスタムデータ識別子を指定するには、データ識別子の名前と正規表現を入力します。例えば、名前には Employee_ID と入力し、正規表現として EmployeeID-\d{9} を入力します。この正規表現は、EmployeeID- の後に 9 つの数値を持つログイベントを検出してマスクします。例えば、EmployeeID-123456789

データ保護ポリシーでカスタムデータ識別子を使用する

AWS CLI または AWS API を使用してカスタムデータ識別子を指定する場合は、データ保護ポリシーの定義に使用される JSON ポリシーにデータ識別子名と正規表現を含める必要があります。次のデータ保護ポリシーは、会社固有の従業員 ID を含むログイベントを検出およびマスクします。

  1. データ保護ポリシー内で Configuration ブロックを作成します。

  2. カスタムデータ識別子の Name を入力します。例えば、EmployeeId と指定します。

  3. カスタムデータ識別子の Regex を入力します。例えば、EmployeeID-\d{9} と指定します。この正規表現は、EmployeeID- の後に 9 桁の EmployeeID- を含むログイベントと一致します。例えば、EmployeeID-123456789

  4. ポリシーステートメントで、以下のカスタムデータ識別子を参照します。

    {
    "Name": "example_data_protection_policy",
    "Description": "Example data protection policy with custom data identifiers",
    "Version": "2021-06-01",
    "Configuration": {
      "CustomDataIdentifier": [
        {"Name": "EmployeeId", "Regex": "EmployeeId-\\d{9}"}   
      ]
    },
    "Statement": [
        {
            "Sid": "audit-policy",
            "DataIdentifier": [
                "EmployeeId"
            ],
            "Operation": {
                "Audit": {
                    "FindingsDestination": {
                        "S3": {
                            "Bucket": "EXISTING_BUCKET"
                        }
                    }
                }
            }
        },
        {
            "Sid": "redact-policy",
            "DataIdentifier": [
            "EmployeeId"
            ],
            "Operation": {
                "Deidentify": {
                    "MaskConfig": {
                    }
                }
            }
        }
    ]
}

  5. (オプション) 必要に応じて、Configuration ブロックにさらに カスタムデータ識別子を追加します。現在、データ保護ポリシーでは最大 10 個のカスタムデータ識別子を使用できます。