本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 保護敏感資料 Amazon CloudWatch Logs 使用資料保護政策來識別敏感資料,並定義保護該資料的動作。您會使用資料識別符選擇感興趣的敏感資料。然後,Amazon CloudWatch Logs 會使用機器學習和模式比對來偵測敏感資料。您可以定義稽核和遮罩操作,以記錄敏感資料調查結果,並在檢視日誌事件時遮罩敏感資料。 如需詳細資訊,請參閱[使用遮罩保護敏感日誌資料](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-data-protection-policies.html)。 您可以在**帳戶層級**或**日誌群組層級**設定 Amazon Bedrock AgentCore 的資料保護。透過帳戶層級資料保護,資料保護規則會套用至您帳戶中的所有日誌。透過日誌層級資料保護,資料保護規則可以套用至您帳戶中的特定日誌群組。這可讓您精細控制帳戶中 PII 資料的遮罩方式。 **在帳戶層級設定資料保護** 1. 開啟 Amazon CloudWatch 主控台。 1. 在導覽窗格中,選擇**設定**。 1. 選擇 **Logs (日誌)** 索引標籤。 1. 選擇**設定資料保護帳戶政策**。 1. 指定與您資料相關的資料識別符。 + 若要使用預先定義的資料識別符,請在**受管資料識別符**下拉式清單中,選取與您資料相關的資料識別符。 + 若要使用自訂資料識別符,請選擇**新增自訂資料識別**符,然後為要保護的資料指定識別符名稱和 Regex 模式。 1. (*選用*) 選擇稽核問題清單的目的地。 + 若要將稽核問題清單傳送至 CloudWatch 日誌,請選擇 **Amazon CloudWatch Logs**,然後選取目的地日誌群組。 + 若要將稽核問題清單傳送至 Firehose 串流,請選擇 **Amazon Data Firehose**,然後選取目的地 Firehose 串流。 + 若要將稽核調查結果傳送至 Amazon S3 儲存貯體,請選擇 **Amazon S3**,然後選取目的地 Amazon S3 儲存貯體。 1. 選擇 **Activate data protection** (啟動資料保護)。 **在日誌群組層級設定資料保護** 1. 開啟 Amazon CloudWatch 主控台。 1. 在導覽面板中,選擇**日誌**、**日誌管理**。 1. 選擇**日誌群組**索引標籤,選取要啟用資料保護的日誌群組,然後選擇**建立資料保護政策**。 1. 指定與您資料相關的資料識別符。 + 若要使用預先定義的資料識別符,請在**受管資料識別符**下拉式清單中,選取與您資料相關的資料識別符。 + 若要使用自訂資料識別符,請選擇**新增自訂資料識別**符,然後為要保護的資料指定識別符名稱和 Regex 模式。 1. (*選用*) 選擇稽核問題清單的目的地。 + 若要將稽核問題清單傳送至 CloudWatch 日誌,請選擇 **Amazon CloudWatch Logs**,然後選取目的地日誌群組。 + 若要將稽核問題清單傳送至 Firehose 串流,請選擇 **Amazon Data Firehose**,然後選取目的地 Firehose 串流。 + 若要將稽核調查結果傳送至 Amazon S3 儲存貯體,請選擇 **Amazon S3**,然後選取目的地 Amazon S3 儲存貯體。 1. 選擇 **Activate data protection** (啟動資料保護)。