# 機密データの保護 Amazon CloudWatch Logs は、データ保護ポリシーを使用して機密データを識別し、そのデータを保護するためのアクションを定義します。目的の機密データを選択するには、データ識別子を使用します。そうすることで、Amazon CloudWatch Logs が機械学習とパターンマッチングを使用して機密データを検出するようになります。監査およびマスキングオペレーションを定義して、機密データの検出結果をログに記録し、ログイベントを表示するときに機密データをマスクできます。 詳細については、「[機密ログデータをマスキングで保護する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-data-protection-policies.html)」を参照してください。 Amazon Bedrock AgentCore のデータ保護は、**アカウントレベル**または**ロググループレベルで**設定できます。アカウントレベルのデータ保護では、データ保護ルールがアカウントのすべてのログに適用されます。ログレベルのデータ保護では、データ保護ルールをアカウントの特定のロググループに適用できます。これにより、アカウントで PII データをマスクする方法をきめ細かく制御できます。 **アカウントレベルでデータ保護を設定するには** 1. Amazon CloudWatch コンソールを開きます。 1. ナビゲーションペインで **[設定]** を選択します。 1. [**ログ**] タブを選択します。 1. **[データ保護アカウントポリシーを設定]** を選択します。 1. データに関連するデータ識別子を指定します。 + 事前定義されたデータ識別子を使用するには、**[マネージドデータ識別子]** ドロップダウンで、データに関連するデータ識別子を選択します。 + カスタムデータ識別子を使用するには、**[カスタムデータ識別子を追加]** を選択してから、識別子の名前と保護するデータの正規表現パターンを指定します。 1. (*オプション*) 監査の検出結果の送信先を選択します。 + 監査の検出結果を CloudWatch ログに送信するには、**[Amazon CloudWatch Logs]** を選択してから、送信先のロググループを選択します。 + 監査の検出結果を Firehose ストリームに送信するには、**[Amazon Data Firehose]** を選択してから、送信先の Firehose ストリームを選択します。 + 監査の検出結果を Amazon S3 バケットに送信するには、**[Amazon S3]** を選択してから、送信先の Amazon S3 バケットを選択します。 1. **[Activate data protection]** (データ保護をアクティブにする) を選択します。 **ロググループレベルでデータ保護を設定するには** 1. Amazon CloudWatch コンソールを開きます。 1. ナビゲーションパネルで、**[ログ]**、**[ログ管理]** の順に選択します。 1. **[ロググループ]** タブを選択し、データ保護を有効にするロググループを選択してから、**[データ保護ポリシーを作成]** を選択します。 1. データに関連するデータ識別子を指定します。 + 事前定義されたデータ識別子を使用するには、**[マネージドデータ識別子]** ドロップダウンで、データに関連するデータ識別子を選択します。 + カスタムデータ識別子を使用するには、**[カスタムデータ識別子を追加]** を選択してから、識別子の名前と保護するデータの正規表現パターンを指定します。 1. (*オプション*) 監査の検出結果の送信先を選択します。 + 監査の検出結果を CloudWatch ログに送信するには、**[Amazon CloudWatch Logs]** を選択してから、送信先のロググループを選択します。 + 監査の検出結果を Firehose ストリームに送信するには、**[Amazon Data Firehose]** を選択してから、送信先の Firehose ストリームを選択します。 + 監査の検出結果を Amazon S3 バケットに送信するには、**[Amazon S3]** を選択してから、送信先の Amazon S3 バケットを選択します。 1. **[Activate data protection]** (データ保護をアクティブにする) を選択します。