翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 1 つのロググループ用のデータ保護ポリシーを作成する
CloudWatch Logs コンソールまたは AWS CLI コマンドを使用して、機密データをマスクするデータ保護ポリシーを作成できます。
各ロググループに 1 つのデータ保護ポリシーを割り当てることができます。各データ保護ポリシーで、複数の種類の情報を監査できます。各データ保護ポリシーには、監査ステートメントを 1 つ含めることができます。
**Topics**
+ [コンソール](#mask-sensitive-log-data-start-console)
+ [AWS CLI](#mask-sensitive-log-data-start-cli)
## コンソール
**コンソールを使用してデータ保護ポリシーを作成するには**
1. CloudWatch コンソールの [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) を開いてください。
1. ナビゲーションペインで、**[ログ]**、**[ロググループ]** の順に選択します。
1. ロググループの名前を選択します。
1. **[Actions]** (アクション)、**[Create data protection policy]** (データ保護ポリシーを作成) を選択します。
1. **[マネージドデータ識別子]** で、このロググループで監査およびマスクするデータの種類を選択します。選択ボックスに入力して、必要な識別子を見つけることができます。
ログデータやビジネスに関連するデータ識別子のみを選択することをお勧めします。多くの種類のデータを選択すると、誤検出につながる可能性があります。
マネージドデータ識別子を使用して保護できるデータの種類の詳細については、「[保護できるデータの種類](protect-sensitive-log-data-types.md)」を参照してください。
1. (オプション) カスタムデータ識別子を使用して他のタイプのデータを監査およびマスクする場合は、**[カスタムデータ識別子を追加]** を選択します。次に、データ型の名前と、ログイベントでそのタイプのデータを検索するために使用する正規表現を入力します。詳細については、「[カスタムデータ識別子](CWL-custom-data-identifiers.md)」を参照してください。
単一のデータ保護ポリシーには、最大 10 個のカスタムデータ識別子を含めることができます。カスタムデータ識別子を定義する各正規表現は、200 文字以下である必要があります。
1. (オプション) 監査結果の送信先となるサービスを 1 つまたは複数選択します。監査結果をこれらのサービスのいずれにも送信しないことを選択した場合でも、選択した機密データタイプは引き続きマスクされます。
1. **[Activate data protection]** (データ保護をアクティブにする) を選択します。
## AWS CLI
**を使用してデータ保護ポリシー AWS CLI を作成するには**
1. テキストエディタを使用して `DataProtectionPolicy.json` という名前のポリシーファイルを作成します。ポリシーの構文については、次のセクションを参照してください。
1. 次のコマンドを入力します。
```
aws logs put-data-protection-policy --log-group-identifier "my-log-group" --policy-document file:///Path/DataProtectionPolicy.json --region us-west-2
```
### AWS CLI または API オペレーションのデータ保護ポリシー構文
AWS CLI コマンドまたは API オペレーションで使用する JSON データ保護ポリシーを作成する場合、ポリシーには 2 つの JSON ブロックを含める必要があります。
+ 最初のブロックには、`DataIdentifer` 配列と `Audit` アクションを含む `Operation` プロパティの両方が含まれている必要があります。`DataIdentifer` 配列には、マスクする機密データの種類が表示されます。利用できるすべてのオプションについての詳細は、「[保護できるデータの種類](protect-sensitive-log-data-types.md)」を参照してください。
`Audit` アクションを含む `Operation` プロパティは、機密データ用語を検索するために必要です。この `Audit` アクションには `FindingsDestination` オブジェクトが含まれている必要があります。オプションで `FindingsDestination` オブジェクトを使用して、監査結果レポートの送信先を 1 つ、または複数リストできます。ロググループ、Amazon Data Firehose ストリーム、S3 バケットなどの送信先を指定する場合、それらは既に存在している必要があります。監査結果レポートの例については、「[監査結果レポート](mask-sensitive-log-data-audit-findings.md)」を参照してください。
+ 2 番目のブロックには、`DataIdentifer` 配列と `Deidentify` アクションを含む `Operation` プロパティの両方が含まれている必要があります。`DataIdentifer` 配列は、ポリシーの最初のブロックにある `DataIdentifer` 配列と完全に一致する必要があります。
`Deidentify` アクションを含む `Operation` プロパティが実際にデータをマスクするものであり、そのアクションには ` "MaskConfig": {}` オブジェクトが含まれている必要があります。` "MaskConfig": {}` オブジェクトは空である必要があります。
E メールアドレスと米国の運転免許証をマスクするデータ保護ポリシーの例を次に示します。
```
{
"Name": "data-protection-policy",
"Description": "test description",
"Version": "2021-06-01",
"Statement": [{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
},
"Firehose": {
"DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
},
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Deidentify": {
"MaskConfig": {}
}
}
}
]
}
```