アカウント全体のデータ保護ポリシーを作成する - Amazon CloudWatch ログ
コンソールAWS CLI

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アカウント全体のデータ保護ポリシーを作成する

CloudWatch Logs コンソールまたは AWS CLI コマンドを使用して、アカウントのすべてのロググループの機密データをマスクする、データ保護ポリシーを作成できます。作成すると、現在のロググループと今後作成するロググループの両方に影響します。

重要

機密データは、ロググループに取り込まれるときに検出され、マスクされます。データ保護ポリシーを設定しても、それ以前にロググループに取り込まれたログイベントはマスクされません。

コンソール

コンソールを使用してアカウント全体のデータ保護ポリシーを作成するには

  1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. ナビゲーションペインで [設定] を選択します。リストの一番下付近にあります。

  3. [ログ] タブを選択します。

  4. [設定] を選択します。

  5. [マネージドデータ識別子] で、使用しているすべてのロググループで監査およびマスクするデータの種類を選択します。選択ボックスに入力して、必要な識別子を見つけることができます。

    ログデータやビジネスに関連するデータ識別子のみを選択することをお勧めします。多くの種類のデータを選択すると、誤検出につながる可能性があります。

    保護できるデータの種類の詳細については、「保護できるデータの種類」を参照してください。

  6. (オプション) カスタムデータ識別子を使用して他のタイプのデータを監査およびマスクする場合は、[カスタムデータ識別子を追加] を選択します。次に、データ型の名前と、ログイベントでそのタイプのデータを検索するために使用する正規表現を入力します。詳細については、「カスタムデータ識別子」を参照してください。

    単一のデータ保護ポリシーには、最大 10 個のカスタムデータ識別子を含めることができます。カスタムデータ識別子を定義する各正規表現は、200 文字以下である必要があります。

  7. (オプション) 監査結果の送信先となるサービスを 1 つまたは複数選択します。監査結果をこれらのサービスのいずれにも送信しないことを選択した場合でも、選択した機密データタイプは引き続きマスクされます。

  8. [Activate data protection] (データ保護をアクティブにする) を選択します。

AWS CLI

AWS CLI を使用してデータ保護ポリシーを作成するには

  1. テキストエディタを使用して DataProtectionPolicy.json という名前のポリシーファイルを作成します。ポリシーの構文については、次のセクションを参照してください。

  2. 次のコマンドを入力します。

    aws logs put-account-policy \
--policy-name TEST_POLICY --policy-type "DATA_PROTECTION_POLICY" \
--policy-document file://policy.json \
--scope "ALL" \
--region us-west-2

AWS CLI または API オペレーション用のデータ保護ポリシー構文

AWS CLI コマンドまたは API オペレーションで使用する JSON データ保護ポリシーを作成する場合、ポリシーには次の 2 つの JSON ブロックを含める必要があります。

  • 最初のブロックには、DataIdentifer 配列と Audit アクションを含む Operation プロパティの両方が含まれている必要があります。DataIdentifer 配列には、マスクする機密データの種類が表示されます。利用できるすべてのオプションについての詳細は、「保護できるデータの種類」を参照してください。

    Audit アクションを含む Operation プロパティは、機密データ用語を検索するために必要です。この Audit アクションには FindingsDestination オブジェクトが含まれている必要があります。オプションで FindingsDestination オブジェクトを使用して、監査結果レポートの送信先を 1 つ、または複数リストできます。ロググループ、Amazon Data Firehose ストリーム、S3 バケットなどの送信先を指定する場合、それらは既に存在している必要があります。監査結果レポートの例については、「監査結果レポート」を参照してください。

  • 2 番目のブロックには、DataIdentifer 配列と Deidentify アクションを含む Operation プロパティの両方が含まれている必要があります。DataIdentifer 配列は、ポリシーの最初のブロックにある DataIdentifer 配列と完全に一致する必要があります。

    Deidentify アクションを含む Operation プロパティが実際にデータをマスクするものであり、そのアクションには "MaskConfig": {} オブジェクトが含まれている必要があります。 "MaskConfig": {} オブジェクトは空である必要があります。

以下は、マネージドデータ識別子のみを使用するデータ保護ポリシーの例です。このポリシーは、E メールアドレスと米国の運転免許証をマスクします。

カスタムデータ識別子を指定するポリシーの詳細については、「データ保護ポリシーでカスタムデータ識別子を使用する」を参照してください。

{
    "Name": "data-protection-policy",
    "Description": "test description",
    "Version": "2021-06-01",
    "Statement": [{
            "Sid": "audit-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Audit": {
                    "FindingsDestination": {
                        "CloudWatchLogs": {
                            "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
                        },
                        "Firehose": {
                            "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
                        },
                        "S3": {
                            "Bucket": "EXISTING_BUCKET"
                        }
                    }
                }
            }
        },
        {
            "Sid": "redact-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Deidentify": {
                    "MaskConfig": {}
                }
            }
        }
    ]
}