翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
1 つのロググループ用のデータ保護ポリシーを作成する
CloudWatch Logs コンソールまたは AWS CLI コマンドを使用して、機密データをマスクするデータ保護ポリシーを作成できます。
各ロググループに 1 つのデータ保護ポリシーを割り当てることができます。各データ保護ポリシーで、複数の種類の情報を監査できます。各データ保護ポリシーには、監査ステートメントを 1 つ含めることができます。
コンソール
コンソールを使用してデータ保護ポリシーを作成するには
-
で CloudWatch コンソールを開きますhttps://console.aws.amazon.com/cloudwatch/
。 -
ナビゲーションペインで、[ログ]、[ロググループ] の順に選択します。
ロググループの名前を選択します。
[Actions] (アクション)、[Create data protection policy] (データ保護ポリシーを作成) を選択します。
[マネージドデータ識別子] で、このロググループで監査およびマスクするデータの種類を選択します。選択ボックスに入力して、必要な識別子を見つけることができます。
ログデータやビジネスに関連するデータ識別子のみを選択することをお勧めします。多くの種類のデータを選択すると、誤検出につながる可能性があります。
マネージドデータ識別子を使用して保護できるデータの種類の詳細については、「保護できるデータの種類」を参照してください。
(オプション) カスタムデータ識別子を使用して他のタイプのデータを監査およびマスクする場合は、[カスタムデータ識別子を追加] を選択します。次に、データ型の名前と、ログイベントでそのタイプのデータを検索するために使用する正規表現を入力します。詳細については、「カスタムデータ識別子」を参照してください。
単一のデータ保護ポリシーには、最大 10 個のカスタムデータ識別子を含めることができます。カスタムデータ識別子を定義する各正規表現は、200 文字以下である必要があります。
(オプション) 監査結果の送信先となるサービスを 1 つまたは複数選択します。監査結果をこれらのサービスのいずれにも送信しないことを選択した場合でも、選択した機密データタイプは引き続きマスクされます。
[Activate data protection] (データ保護をアクティブにする) を選択します。
AWS CLI
を使用してデータ保護ポリシー AWS CLI を作成するには
テキストエディタを使用して
DataProtectionPolicy.json
という名前のポリシーファイルを作成します。ポリシーの構文については、次のセクションを参照してください。次のコマンドを入力します。
aws logs put-data-protection-policy --log-group-identifier "
my-log-group
" --policy-document file:///Path/DataProtectionPolicy.json --regionus-west-2
AWS CLI または APIオペレーションのデータ保護ポリシー構文
AWS CLI コマンドまたはAPIオペレーションで使用するJSONデータ保護ポリシーを作成する場合、ポリシーには 2 つのJSONブロックを含める必要があります。
最初のブロックには、
DataIdentifer
配列とAudit
アクションを含むOperation
プロパティの両方が含まれている必要があります。DataIdentifer
配列には、マスクする機密データの種類が表示されます。利用できるすべてのオプションについての詳細は、「保護できるデータの種類」を参照してください。Audit
アクションを含むOperation
プロパティは、機密データ用語を検索するために必要です。このAudit
アクションにはFindingsDestination
オブジェクトが含まれている必要があります。オプションでFindingsDestination
オブジェクトを使用して、監査結果レポートの送信先を 1 つ、または複数リストできます。ロググループ、Amazon Data Firehose ストリーム、S3 バケットなどの送信先を指定する場合、それらは既に存在している必要があります。監査結果レポートの例については、「監査結果レポート」を参照してください。2 番目のブロックには、
DataIdentifer
配列とDeidentify
アクションを含むOperation
プロパティの両方が含まれている必要があります。DataIdentifer
配列は、ポリシーの最初のブロックにあるDataIdentifer
配列と完全に一致する必要があります。Deidentify
アクションを含むOperation
プロパティが実際にデータをマスクするものであり、そのアクションには"MaskConfig": {}
オブジェクトが含まれている必要があります。"MaskConfig": {}
オブジェクトは空である必要があります。
E メールアドレスと米国の運転免許証をマスクするデータ保護ポリシーの例を次に示します。
{ "Name": "data-protection-policy", "Description": "test description", "Version": "2021-06-01", "Statement": [{ "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Audit": { "FindingsDestination": { "CloudWatchLogs": { "LogGroup": "
EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT
," }, "Firehose": { "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT
" }, "S3": { "Bucket": "EXISTING_BUCKET
" } } } } }, { "Sid": "redact-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Deidentify": { "MaskConfig": {} } } } ] }