Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Membuat kebijakan perlindungan data untuk satu grup log Anda dapat menggunakan konsol CloudWatch Log atau AWS CLI perintah untuk membuat kebijakan perlindungan data untuk menutupi data sensitif. Anda dapat menetapkan satu kebijakan perlindungan data untuk setiap grup log. Setiap kebijakan perlindungan data dapat mengaudit berbagai jenis informasi. Setiap kebijakan perlindungan data dapat mencakup satu pernyataan audit. **Topics** + [ ## Konsol ](#mask-sensitive-log-data-start-console) + [ ## AWS CLI ](#mask-sensitive-log-data-start-cli) ## Konsol **Untuk menggunakan konsol untuk membuat kebijakan perlindungan data** 1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/). 1. Di panel navigasi, pilih **Log**, **Grup log**. 1. Pilih nama grup log. 1. Pilih **Tindakan**, **Buat kebijakan perlindungan data**. 1. Untuk **pengidentifikasi data terkelola**, pilih jenis data yang ingin Anda audit dan tutupi di grup log ini. Anda dapat mengetikkan kotak pilihan untuk menemukan pengidentifikasi yang Anda inginkan. Kami menyarankan Anda hanya memilih pengenal data yang relevan untuk data log dan bisnis Anda. Memilih banyak jenis data dapat menyebabkan positif palsu. Untuk detail tentang jenis data yang dapat Anda lindungi dengan menggunakan pengenal data terkelola, lihat[Jenis data yang dapat Anda lindungi](protect-sensitive-log-data-types.md). 1. (Opsional) Jika Anda ingin mengaudit dan menutupi jenis data lain dengan menggunakan pengidentifikasi data khusus, pilih **Tambahkan pengenal data khusus**. Kemudian masukkan nama untuk tipe data dan ekspresi reguler yang akan digunakan untuk mencari jenis data tersebut dalam peristiwa log. Untuk informasi selengkapnya, lihat [Pengidentifikasi data khusus](CWL-custom-data-identifiers.md). Kebijakan perlindungan data tunggal dapat mencakup hingga 10 pengidentifikasi data kustom. Setiap ekspresi reguler yang mendefinisikan pengenal data kustom harus 200 karakter atau kurang. 1. (Opsional) Pilih satu atau lebih layanan untuk mengirimkan temuan audit ke. Bahkan jika Anda memilih untuk tidak mengirim temuan audit ke salah satu layanan ini, tipe data sensitif yang Anda pilih akan tetap tertutup. 1. Pilih **Aktifkan perlindungan data**. ## AWS CLI **Untuk menggunakan AWS CLI untuk membuat kebijakan perlindungan data** 1. Gunakan editor teks untuk membuat file kebijakan bernama`DataProtectionPolicy.json`. Untuk informasi tentang sintaks kebijakan, lihat bagian berikut. 1. Masukkan perintah berikut: ``` aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2 ``` ### Sintaks kebijakan perlindungan data untuk AWS CLI atau operasi API Saat Anda membuat kebijakan perlindungan data JSON untuk digunakan dalam operasi AWS CLI perintah atau API, kebijakan tersebut harus menyertakan dua blok JSON: + Blok pertama harus menyertakan `DataIdentifer` array dan `Operation` properti dengan `Audit` tindakan. `DataIdentifer`Array mencantumkan jenis data sensitif yang ingin Anda tutupi. Untuk informasi lebih lanjut tentang opsi yang tersedia, lihat [Jenis data yang dapat Anda lindungi](protect-sensitive-log-data-types.md). `Operation`Properti dengan `Audit` tindakan diperlukan untuk menemukan istilah data sensitif. `Audit`Tindakan ini harus berisi `FindingsDestination` objek. Anda dapat menggunakan `FindingsDestination` objek tersebut secara opsional untuk mencantumkan satu atau beberapa tujuan untuk mengirim laporan temuan audit. Jika Anda menentukan tujuan seperti grup log, aliran Amazon Data Firehose, dan bucket S3, mereka harus sudah ada. Untuk contoh laporan audit findins, lihat. [Laporan temuan audit](mask-sensitive-log-data-audit-findings.md) + Blok kedua harus menyertakan `DataIdentifer` array dan `Operation` properti dengan `Deidentify` tindakan. `DataIdentifer`Array harus sama persis dengan `DataIdentifer` array di blok pertama kebijakan. `Operation`Properti dengan `Deidentify` tindakan adalah apa yang sebenarnya menutupi data, dan itu harus berisi ` "MaskConfig": {}` objek. ` "MaskConfig": {}`Objek harus kosong. Berikut ini adalah contoh kebijakan perlindungan data yang menutupi alamat email dan SIM Amerika Serikat. ``` { "Name": "data-protection-policy", "Description": "test description", "Version": "2021-06-01", "Statement": [{ "Sid": "audit-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Audit": { "FindingsDestination": { "CloudWatchLogs": { "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT," }, "Firehose": { "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT" }, "S3": { "Bucket": "EXISTING_BUCKET" } } } } }, { "Sid": "redact-policy", "DataIdentifier": [ "arn:aws:dataprotection::aws:data-identifier/EmailAddress", "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US" ], "Operation": { "Deidentify": { "MaskConfig": {} } } } ] } ```