翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# カスタムデータ識別子
<a name="CWL-custom-data-identifiers"></a>

**Topics**
+ [SNS カスタムデータ識別子とは](#what-are-custom-data-identifiers)
+ [カスタムデータ識別子の制約](#custom-data-identifiers-constraints)
+ [コンソールでのカスタムデータ識別子の使用](#using-custom-data-identifiers-console)
+ [データ保護ポリシーでカスタムデータ識別子を使用する](#using-custom-data-identifiers)

## SNS カスタムデータ識別子とは
<a name="what-are-custom-data-identifiers"></a>

カスタムデータ識別子 (CDI) を使用すると、データ保護ポリシーで使用できる独自のカスタム正規表現を定義できます。カスタムデータ識別子を使用すると、[マネージドデータ識別子](CWL-managed-data-identifiers.md)では提供できないビジネス固有の個人を特定できる情報 (PII) のユースケースをターゲットにすることができます。たとえば、カスタムデータ識別子を使用すると、会社固有の従業員 ID を検索できます。カスタムデータ識別子は、マネージドデータ ID と組み合わせて使用できます。

## カスタムデータ識別子の制約
<a name="custom-data-identifiers-constraints"></a>

CloudWatch Logs カスタムデータ識別子には、以下の制限があります。
+ 各データ保護ポリシーに使用できるカスタムデータ識別子は最大 10個です。
+ カスタムデータ識別子名に使用できるのは 128 文字までです。以下の文字がサポートされています。
  + 英数字: (a-zA-Z0-9)
  + 記号: ( '\$1' \$1 '-' )
+ RegEx の最大長は 200 文字です。以下の文字がサポートされています。
  + 英数字: (a-zA-Z0-9)
  + 記号: ( '\$1' \$1 '\$1' \$1 '=' \$1 '@' \$1'/' \$1 ';' \$1 ',' \$1 '-' \$1 ' ' )
  + RegEx 予約文字: ( '^' \$1 '\$1' \$1 '?' \$1 '[' \$1 ']' \$1 '\$1' \$1 '\$1' \$1 '\$1' \$1 '\$1\$1' \$1 '\$1' \$1 '\$1' \$1 '.' ) 
+ カスタムデータ識別子は、マネージドデータ識別子と同じ名前を共有することはできません。
+ カスタムデータ識別子は、アカウントレベルのデータ保護ポリシーまたはロググループレベルのデータ保護ポリシーで指定できます。マネージドデータ識別子と同様に、アカウントレベルのポリシーで定義されたカスタムデータ識別子は、ロググループレベルのポリシーで定義されたカスタムデータ識別子との組み合わせにより機能します。

## コンソールでのカスタムデータ識別子の使用
<a name="using-custom-data-identifiers-console"></a>

CloudWatch コンソールを使用してデータ保護ポリシーを作成または編集する場合、カスタムデータ識別子を指定するには、データ識別子の名前と正規表現を入力します。例えば、名前には **Employee\$1ID** と入力し、正規表現として **EmployeeID-\$1d\$19\$1** を入力します。この正規表現は、`EmployeeID-` の後に 9 つの数値を持つログイベントを検出してマスクします。例: `EmployeeID-123456789`

## データ保護ポリシーでカスタムデータ識別子を使用する
<a name="using-custom-data-identifiers"></a>

 AWS CLI または AWS API を使用してカスタムデータ識別子を指定する場合は、データ保護ポリシーの定義に使用される JSON ポリシーにデータ識別子名と正規表現を含める必要があります。次のデータ保護ポリシーは、会社固有の従業員 ID を含むログイベントを検出およびマスクします。

1. データ保護ポリシー内で `Configuration` ブロックを作成します。

1. カスタムデータ識別子の `Name` を入力します。例えば、**EmployeeId**。

1. カスタムデータ識別子の `Regex` を入力します。例えば、**EmployeeID-\$1d\$19\$1**。この正規表現は、`EmployeeID-` の後に 9 桁の `EmployeeID-` を含むログイベントと一致します。例: `EmployeeID-123456789` 

1. ポリシーステートメントで、以下のカスタムデータ識別子を参照します。

   ```
   {
       "Name": "example_data_protection_policy",
       "Description": "Example data protection policy with custom data identifiers",
       "Version": "2021-06-01",
       "Configuration": {
         "CustomDataIdentifier": [
           {"Name": "EmployeeId", "Regex": "EmployeeId-\\d{9}"}   
         ]
       },
       "Statement": [
           {
               "Sid": "audit-policy",
               "DataIdentifier": [
                   "EmployeeId"
               ],
               "Operation": {
                   "Audit": {
                       "FindingsDestination": {
                           "S3": {
                               "Bucket": "EXISTING_BUCKET"
                           }
                       }
                   }
               }
           },
           {
               "Sid": "redact-policy",
               "DataIdentifier": [
               "EmployeeId"
               ],
               "Operation": {
                   "Deidentify": {
                       "MaskConfig": {
                       }
                   }
               }
           }
       ]
   }
   ```

1. (オプション) 必要に応じて、`Configuration` ブロックにさらに **カスタムデータ識別子**を追加します。現在、データ保護ポリシーでは最大 10 個のカスタムデータ識別子を使用できます。