翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# データ保護ポリシーを理解する
<a name="cloudwatch-logs-data-protection-policies"></a>

**Topics**
+ [データ保護ポリシーとは](#what-are-data-protection-policies)
+ [データ保護ポリシーの構成の仕組み](#overview-of-data-protection-policies)

## データ保護ポリシーとは
<a name="what-are-data-protection-policies"></a>

CloudWatch は**データ保護ポリシー**を使用して、スキャンする機密データと、そのデータを保護するために実行するアクションを選択します。目的の機密データを選択するには、[データ識別子](CWL-managed-data-identifiers.md)を使用します。そうすることで、CloudWatch Logs データ保護が機械学習とパターンマッチングを使用して機密データを検出するようになります。検出されたデータ識別子に基づいてアクションを実行するには、**Audit** (監査) および **De-identify** (匿名化) 操作を定義できます。これらの操作は、検出された (または検出されなかった) 機密データをログに記録し、ログイベントが表示されるときに機密データをマスクすることを可能にします。

## データ保護ポリシーの構成の仕組み
<a name="overview-of-data-protection-policies"></a>

次の図に示すように、データ保護ポリシードキュメントには次の要素が含まれています。
+ ドキュメントの最上部に記載されるポリシー全体の情報 (任意)
+ 監査および匿名化アクションを定義する 1 つのステートメント

CloudWatch Logs ロググループごとに定義できるデータ保護ポリシーは 1 つだけです。データ保護ポリシーには、1 つまたは複数の拒否または識別解除ステートメントと 1 つの監査ステートメントのみを含めることができます。

### データ保護ポリシーの JSON プロパティ
<a name="data-protection-policy-json-properties"></a>

データ保護ポリシーでは、識別のために以下の基本ポリシー情報が必要です。
+ **Name** – ポリシーの名前｡
+ **Description** (オプション) – ポリシーの説明。
+ **Version** – ポリシー言語のバージョン。現在のバージョンは 2021-06-01. です。
+ **Statement** – データ保護ポリシーアクションを指定するステートメントのリスト。

```
{
  "Name": "CloudWatchLogs-PersonalInformation-Protection",
  "Description": "Protect basic types of sensitive data",
  "Version": "2021-06-01",
  "Statement": [
        ...
  ]
}
```

### ポリシーステートメントの JSON プロパティ
<a name="policy-statement-json-properties"></a>

ポリシーステートメントは、データ保護オペレーションの検出コンテキストを設定します。
+ **Sid** (オプション) – ステートメント識別子。
+ **DataIdentifier** - CloudWatch ログがスキャンする必要がある機密データ。名前、住所、電話番号などです。
+ **Operation** – 後続アクション (**Audit** または **De-identify** のいずれか)。CloudWatch Logs は、機密データが検出されたときにこれらのアクションを実行します。

```
{
  ...
  "Statement": [
    {
      "Sid": "audit-policy",
      "DataIdentifier": [
        "arn:aws:dataprotection::aws:data-identifier/Address"
      ],
      "Operation": {
        "Audit": {
          "FindingsDestination": {}
        }
      }
    },
```

### ポリシーステートメントオペレーションの JSON プロパティ
<a name="statement-operation-json-properties"></a>

ポリシーステートメントは、次のデータ保護オペレーションのいずれかを設定します。
+ **Audit** – ロギングを中断することなく、メトリクスと結果レポートを発行します。一致する文字列は、CloudWatch Logs が CloudWatch の **AWS/Logs** 名前空間に発行する **LogEventsWithFindings** メトリクスをインクリメントします。これらのメトリクスは、アラームを作成するために使用できます。

  結果レポートの例については、「[監査結果レポート](mask-sensitive-log-data-audit-findings.md)」を参照してください。

  CloudWatch Logs が CloudWatch に送信するメトリクスの詳細については、「[CloudWatch メトリクスによるモニタリング](CloudWatch-Logs-Monitoring-CloudWatch-Metrics.md)」を参照してください。
+ **De-identify** – ロギングを中断することなく機密データをマスクします。