翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
機密性の高いログデータをマスキングで保護する
ロググループのデータ保護ポリシーを使用して、 CloudWatch ログによって取り込まれた機密データを保護することができます。これらのポリシーを使うことで、アカウントのロググループが取り込んだログイベントに表示される機密データを、監査およびマスクできます。
データ保護ポリシーを作成すると、デフォルトで、選択したデータ識別子に一致する機密データは、 CloudWatch Logs Insights、メトリクスフィルター、サブスクリプションフィルターなど、すべての出力ポイントでマスクされます。アクセスlogs:UnmaskIAM許可を持つユーザーのみが、マスクされていないデータを表示できます。
アカウントのすべてのロググループに対してデータ保護ポリシーを作成できます。また、個々のロググループのデータ保護ポリシーも作成できます。アカウント全体に対するポリシーを作成すると、既存のロググループと今後作成するロググループの両方に、ポリシーが適用されます。
アカウント全体に対するデータ保護ポリシーを作成し、1 つのロググループに対するポリシーも作成すると、そのロググループには両方のポリシーが適用されます。いずれかのポリシーで指定されたマネージドデータ識別子は、すべてそのロググループで監査およびマスクされます。
注記
機密データのマスキングは、標準ログクラスのロググループでのみサポートされます。アカウント内のすべてのロググループに対してデータ保護ポリシーを作成する場合、ポリシーは標準ログクラスのロググループにのみ適用されます。ログクラスの詳細については、「ログクラス」を参照してください。
各ロググループで設定できるロググループレベルのデータ保護ポリシーは 1 つのみです。ただしそのポリシーでは、監査およびマスキングの対象となるマネージドデータ識別子を複数指定できます。データ保護ポリシーの文字数の上限は、30,720 文字です。
重要
機密データは、ロググループに取り込まれるときに検出され、マスクされます。データ保護ポリシーを設定しても、それ以前にロググループに取り込まれたログイベントはマスクされません。
CloudWatch ログは、財務データ、個人健康情報 ()、個人を特定できる情報 (PHI) を保護するために選択できる事前設定されたデータ型を提供する、多くのマネージドデータ識別子をサポートしていますPII。 CloudWatch ログデータ保護により、パターンマッチングと機械学習モデルを活用して機密データを検出できます。マネージドデータ識別子の種類によっては、検出は、機密データに密接に関連する特定のキーワードの検出結果にも依存します。また、カスタムデータ識別子を使用して、特定のユースケースに合わせたデータ識別子を作成することもできます。
選択したデータ識別子に一致する機密データが検出され CloudWatch ると、 メトリクスが に出力されます。これは LogEventsWithFindingsメトリクスであり、AWS/Logs 名前空間に出力されます。このメトリクスを使用して CloudWatch アラームを作成し、グラフやダッシュボードで視覚化できます。データ保護によって発行されたメトリクスは無料で提供されるメトリクスなので、料金はかかりません。 CloudWatch Logs が に送信するメトリクスの詳細については CloudWatch、「」を参照してくださいCloudWatch メトリクスによるモニタリング。
各マネージドデータ識別子は、特定の国またはリージョンのクレジットカード番号、 AWS シークレットアクセスキー、パスポート番号など、特定のタイプの機密データを検出するように設計されています。データ保護ポリシーを作成する際に、これらの識別子を使用してロググループが取り込んだログを分析し、検出された場合にアクションを実行するように設定できます。
CloudWatch ログデータ保護は、マネージドデータ識別子を使用して、次のカテゴリの機密データを検出できます。
プライベートキーや AWS シークレットアクセスキーなどの認証情報
クレジットカード番号などの財務情報
運転免許証や社会保障番号などの個人を特定できる情報 (PII)
健康保険や医療識別番号などの保護対象医療情報 (PHI)
IP アドレスや MAC アドレスなどのデバイス識別子
保護できるデータの種類の詳細については、「保護できるデータの種類」を参照してください。
目次
