Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Den Schutz vertraulicher Protokolldaten mit Maskierung unterstützen Mithilfe von Datenschutzrichtlinien für Protokollgruppen können Sie dazu beitragen, sensible Daten, die in CloudWatch Logs aufgenommen werden, zu *schützen*. Mit diesen Richtlinien können Sie sensible Daten prüfen und maskieren, die in Protokollereignissen vorkommen, die von den Protokollgruppen in Ihrem Konto erfasst werden. Wenn Sie eine Datenschutzrichtlinie erstellen, werden vertrauliche Daten, die den von Ihnen ausgewählten Datenkennungen entsprechen, standardmäßig an allen Ausgangspunkten maskiert, einschließlich CloudWatch Logs Insights, Metrikfiltern und Abonnementfiltern. Nur Benutzer mit der IAM-Berechtigung `logs:Unmask` können unmaskierte Daten anzeigen. Sie können eine Datenschutzrichtlinie für alle Protokollgruppen in Ihrem Konto erstellen, und Sie können auch eine Datenschutzrichtlinie für einzelne Protokollgruppen erstellen. Wenn Sie eine Richtlinie für Ihr gesamtes Konto erstellen, gilt sie sowohl für bestehende Protokollgruppen als auch für Protokollgruppen, die in Zukunft erstellt werden. Wenn Sie eine Datenschutzrichtlinie für Ihr gesamtes Konto und gleichzeitig eine Richtlinie für eine einzelne Protokollgruppe erstellen, gelten beide Richtlinien für diese Protokollgruppe. Alle verwalteten Datenidentifikatoren, die in einer der beiden Richtlinien angegeben sind, werden in dieser Protokollgruppe geprüft und maskiert. **Anmerkung** Das Maskieren sensibler Daten wird für Protokollgruppen sowohl in den Protokollklassen Standard als auch in der Protokollklasse für seltenen Zugriff unterstützt. Weitere Hinweise zu Protokollklassen finden Sie unter. [Klassen protokollieren](CloudWatch_Logs_Log_Classes.md) Jede Protokollgruppe kann nur eine Datenschutzrichtlinie auf Protokollgruppenebene haben, aber diese Richtlinie kann viele verwaltete Datenkennungen angeben, die geprüft und maskiert werden sollen. Das Limit für eine Datenschutzrichtlinie beträgt 30 720 Zeichen. **Wichtig** Vertrauliche Daten werden erkannt und maskiert, wenn sie in die Protokollgruppe aufgenommen werden. Wenn Sie eine Datenschutzrichtlinie festlegen, werden Protokollereignisse, die vor diesem Zeitpunkt in die Protokollgruppe aufgenommen wurden, nicht maskiert. CloudWatch Logs unterstützt viele *verwaltete Datenkennungen*, die vorkonfigurierte Datentypen bieten, die Sie auswählen können, um Finanzdaten, persönliche Gesundheitsinformationen (PHI) und persönlich identifizierbare Informationen (PII) zu schützen. CloudWatch Durch den Datenschutz von Logs können Sie Modelle für Musterabgleich und maschinelles Lernen nutzen, um sensible Daten zu erkennen. Bei einigen Typen verwalteter Datenkennungen hängt die Erkennung davon ab, dass auch bestimmte Schlüsselwörter gefunden werden, die sich in der Nähe der sensiblen Daten befinden. Sie können auch benutzerdefinierte Datenkennungen verwenden, um Datenkennungen zu erstellen, die auf Ihren speziellen Anwendungsfall zugeschnitten sind. CloudWatch Wenn sensible Daten erkannt werden, wird eine Metrik ausgegeben, die mit den von Ihnen ausgewählten Datenkennungen übereinstimmt. Dies ist die **LogEventsWithFindings**Metrik und sie wird im **AWS/Logs-Namespace** ausgegeben. Sie können diese Metrik verwenden, um CloudWatch Alarme zu erstellen, und Sie können sie in Diagrammen und Dashboards visualisieren. Die vom Datenschutz ausgegebenen Metriken sind angebotene Metriken und sind kostenlos. Weitere Informationen zu den Metriken, an die CloudWatch Logs sendet CloudWatch, finden Sie unter[Überwachung mit CloudWatch Metriken](CloudWatch-Logs-Monitoring-CloudWatch-Metrics.md). Jeder verwaltete Datenbezeichner ist darauf ausgelegt, eine bestimmte Art vertraulicher Daten zu erkennen, z. B. Kreditkartennummern, AWS geheime Zugangsschlüssel oder Passnummern für ein bestimmtes Land oder eine bestimmte Region. Beim Erstellen einer Datenschutzrichtlinie können Sie es so konfigurieren, dass diese Kennungen von der Protokollgruppe aufgenommene Protokolle analyisieren und bei entsprechender Erkennung Maßnahmen ergreifen. CloudWatch Logs Data Protection kann mithilfe verwalteter Datenkennungen die folgenden Kategorien sensibler Daten erkennen: + Anmeldeinformationen, wie private Schlüssel oder AWS geheime Zugangsschlüssel + Finanzinformationen, wie Kreditkartennummern + Persönlich identifizierbare Informationen (PII), wie Führerscheine oder Sozialversicherungsnummern + Geschützte Gesundheitsdaten, wie Krankenversicherungs- oder medizinische Identifikationsnummern + Gerätekennungen, wie IP-Adressen oder MAC-Adressen Einzelheiten zu den Datentypen, die Sie schützen können, finden Sie unter [Arten von Daten, die Sie schützen können](protect-sensitive-log-data-types.md). **Contents** + [Informationen über Datenschutzrichtlinien](cloudwatch-logs-data-protection-policies.md) + [Was sind Datenschutzrichtlinien?](cloudwatch-logs-data-protection-policies.md#what-are-data-protection-policies) + [Wie ist die Datenschutzrichtlinie aufgebaut?](cloudwatch-logs-data-protection-policies.md#overview-of-data-protection-policies) + [JSON-Eigenschaften für die Datenschutzrichtlinie](cloudwatch-logs-data-protection-policies.md#data-protection-policy-json-properties) + [JSON-Eigenschaften für eine Richtlinienanweisung](cloudwatch-logs-data-protection-policies.md#policy-statement-json-properties) + [JSON-Eigenschaften für eine Richtlinienanweisungsoperation](cloudwatch-logs-data-protection-policies.md#statement-operation-json-properties) + [Erforderliche IAM-Berechtigungen zum Erstellen oder Arbeiten mit einer Datenschutzrichtlinie](data-protection-policy-permissions.md) + [Für Datenschutzrichtlinien auf Kontoebene sind Berechtigungen erforderlich](data-protection-policy-permissions.md#data-protection-policy-permissions-accountlevel) + [Erforderliche Berechtigungen für Datenschutzrichtlinien für eine einzelne Protokollgruppe](data-protection-policy-permissions.md#data-protection-policy-permissions-loggroup) + [Beispiel-Datenschutzrichtlinie](data-protection-policy-permissions.md#data-protection-policy-sample) + [Erstellen einer kontoweiten Datenschutzrichtlinie](mask-sensitive-log-data-accountlevel.md) + [Konsole](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-accountlevel-console) + [AWS CLI](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-accountlevel-cli) + [Syntax der Datenschutzrichtlinie für AWS CLI unsere API-Operationen](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-policysyntax-account) + [Erstellen einer Datenschutzrichtlinie für eine einzelne Protokollgruppe](mask-sensitive-log-data-start.md) + [Konsole](mask-sensitive-log-data-start.md#mask-sensitive-log-data-start-console) + [AWS CLI](mask-sensitive-log-data-start.md#mask-sensitive-log-data-start-cli) + [Syntax der Datenschutzrichtlinie für AWS CLI unsere API-Operationen](mask-sensitive-log-data-start.md#mask-sensitive-log-data-policysyntax) + [Unmaskierte Daten anzeigen](mask-sensitive-log-data-viewunmasked.md) + [Prüfergebnisberichte](mask-sensitive-log-data-audit-findings.md) + [Erforderliche wichtige Richtlinie zum Senden von Prüfungsergebnissen an einen Bucket, der geschützt ist durch AWS KMS](mask-sensitive-log-data-audit-findings.md#mask-sensitive-log-data-audit-findings-kms) + [Arten von Daten, die Sie schützen können](protect-sensitive-log-data-types.md) + [CloudWatch Protokolliert verwaltete Datenbezeichner für sensible Datentypen](CWL-managed-data-identifiers.md) + [Anmeldeinformationen](protect-sensitive-log-data-types-credentials.md) + [Datenbezeichner ARNs für Datentypen mit Anmeldeinformationen](protect-sensitive-log-data-types-credentials.md#cwl-data-protection-credentials-arns) + [Gerätekennungen](protect-sensitive-log-data-types-device.md) + [Daten-ID ARNs für Gerätedatentypen](protect-sensitive-log-data-types-device.md#cwl-data-protection-devices-arns) + [Finanzinformationen](protect-sensitive-log-data-types-financial.md) + [Daten-ID ARNs für Finanzdatentypen](protect-sensitive-log-data-types-financial.md#cwl-data-protection-financial-arns) + [Geschützte Gesundheitsdaten](protect-sensitive-log-data-types-health.md) + [Datenbezeichner ARNs für Datentypen mit geschützten Gesundheitsinformationen (PHI)](protect-sensitive-log-data-types-health.md#cwl-data-protection-phi-arns) + [Persönlich Identifizierbare Informationen (PII)](protect-sensitive-log-data-types-pii.md) + [Schlüsselwörter für Identifikationsnummern des Führerscheins](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-dl-keywords) + [Schlüsselwörter für nationale Identifikationsnummern](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-natlid-keywords) + [Schlüsselwörter für Passnummern](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-passport-keywords) + [Schlüsselwörter für Steuerpflichtigenidentifikations- und Referenznummern](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-financial-tin-keywords) + [Daten-ID ARNs für persönlich identifizierbare Informationen (PII)](protect-sensitive-log-data-types-pii.md#CWL-data-protection-pii-arns) + [Benutzerdefinierte Datenbezeichner](CWL-custom-data-identifiers.md) + [Was sind benutzerdefinierte SNS-Datenkennungen?](CWL-custom-data-identifiers.md#what-are-custom-data-identifiers) + [Einschränkungen für benutzerdefinierte Datenkennungen](CWL-custom-data-identifiers.md#custom-data-identifiers-constraints) + [Verwenden von benutzerdefinierten Datenbezeichnern in der Konsole](CWL-custom-data-identifiers.md#using-custom-data-identifiers-console) + [Verwenden benutzerdefinierter Datenkennungen in Ihrer Datenschutzrichtlinie](CWL-custom-data-identifiers.md#using-custom-data-identifiers)