翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
データ保護ポリシーを理解する
データ保護ポリシーとは
CloudWatch はデータ保護ポリシーを使用して、スキャンする機密データと、そのデータを保護するために実行するアクションを選択します。目的の機密データを選択するには、データ識別子を使用します。そうすることで、CloudWatch Logs データ保護が機械学習とパターンマッチングを使用して機密データを検出するようになります。検出されたデータ識別子に基づいてアクションを実行するには、Audit (監査) および De-identify (匿名化) 操作を定義できます。これらの操作は、検出された (または検出されなかった) 機密データをログに記録し、ログイベントが表示されるときに機密データをマスクすることを可能にします。
データ保護ポリシーの構成の仕組み
次の図に示すように、データ保護ポリシードキュメントには次の要素が含まれています。
-
ドキュメントの最上部に記載されるポリシー全体の情報 (任意)
-
監査および匿名化アクションを定義する 1 つのステートメント
CloudWatch Logs ロググループごとに定義できるデータ保護ポリシーは 1 つだけです。データ保護ポリシーには、1 つまたは複数の拒否または識別解除ステートメントと 1 つの監査ステートメントのみを含めることができます。
データ保護ポリシーの JSON プロパティ
データ保護ポリシーでは、識別のために以下の基本ポリシー情報が必要です。
-
Name – ポリシーの名前。
-
Description (オプション) – ポリシーの説明。
-
Version – ポリシー言語のバージョン。現在のバージョンは 2021-06-01. です。
-
Statement – データ保護ポリシーアクションを指定するステートメントのリスト。
{ "Name": "CloudWatchLogs-PersonalInformation-Protection", "Description": "Protect basic types of sensitive data", "Version": "2021-06-01", "Statement": [ ... ] }
ポリシーステートメントの JSON プロパティ
ポリシーステートメントは、データ保護オペレーションの検出コンテキストを設定します。
-
Sid (オプション) – ステートメント識別子。
-
DataIdentifier - CloudWatch ログがスキャンする必要がある機密データ。名前、住所、電話番号などです。
-
Operation – 後続アクション (Audit または De-identify のいずれか)。CloudWatch Logs は、機密データが検出されたときにこれらのアクションを実行します。
{ ... "Statement": [ { "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/Address" ], "Operation": { "Audit": { "FindingsDestination": {} } } },
ポリシーステートメントオペレーションの JSON プロパティ
ポリシーステートメントは、次のデータ保護オペレーションのいずれかを設定します。
-
Audit – ロギングを中断することなく、メトリクスと結果レポートを発行します。一致する文字列は、CloudWatch Logs が CloudWatch の AWS/Logs 名前空間に発行する LogEventsWithFindings メトリクスをインクリメントします。これらのメトリクスは、アラームを作成するために使用できます。
結果レポートの例については、「監査結果レポート」を参照してください。
CloudWatch Logs が CloudWatch に送信するメトリクスの詳細については、「CloudWatch メトリクスによるモニタリング」を参照してください。
-
De-identify – ロギングを中断することなく機密データをマスクします。
