기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 데이터 보호 정책 이해
<a name="cloudwatch-logs-data-protection-policies"></a>

**Topics**
+ [데이터 보호 정책이란 무엇입니까?](#what-are-data-protection-policies)
+ [데이터 보호 정책은 어떻게 구성되어 있습니까?](#overview-of-data-protection-policies)

## 데이터 보호 정책이란 무엇입니까?
<a name="what-are-data-protection-policies"></a>

CloudWatch Logs는 **데이터 보호 정책**을 사용하여 스캔하려는 민감한 데이터와 해당 데이터를 보호하기 위해 수행하려는 작업을 선택합니다. 관심 있는 민감한 데이터를 선택하려면 [데이터 식별자](CWL-managed-data-identifiers.md)를 사용합니다. 그런 다음 CloudWatch Logs 데이터 보호는 기계 학습 및 패턴 일치를 사용하여 중요한 데이터를 감지합니다. 발견된 데이터 식별자에 따라 조치를 취하기 위해 **감사**와 **비식별화** 작업을 정의할 수 있습니다. 이러한 연산을 사용하여 발견된(또는 발견되지 않은) 민감한 데이터를 로깅하고 로그 이벤트를 확인할 때 민감한 데이터를 마스킹 처리할 수 있습니다.

## 데이터 보호 정책은 어떻게 구성되어 있습니까?
<a name="overview-of-data-protection-policies"></a>

다음 그림처럼 데이터 보호 정책 문서는 다음 요소를 포함합니다.
+ 문서 상단에 위치하는 정책 전반의 선택적 정보
+ 감사 및 비식별화 작업을 정의하는 명령문 하나

CloudWatch Logs 로그 그룹당 하나의 데이터 보호 정책만 정의할 수 있습니다. 데이터 보호 정책은 하나 이상의 거부 또는 비식별 명령문과 하나의 감사 명령문을 가질 수 있습니다.

### 데이터 보호 정책의 JSON 속성
<a name="data-protection-policy-json-properties"></a>

데이터 보호 정책에는 식별을 위해 다음과 같은 기본 정책 정보가 필요합니다.
+ **Name**(이름) – 정책 이름입니다.
+ **Description**(설명)(선택 사항) – 정책 설명입니다.
+ **Version**(버전) - 정책 언어 버전입니다. 현재 버전은 2021-06-01입니다.
+ **Statement**(명령문) - 데이터 보호 정책 조치를 지정하는 명령문 목록입니다.

```
{
  "Name": "CloudWatchLogs-PersonalInformation-Protection",
  "Description": "Protect basic types of sensitive data",
  "Version": "2021-06-01",
  "Statement": [
        ...
  ]
}
```

### 정책 명령문을 위한 JSON 속성
<a name="policy-statement-json-properties"></a>

정책 명령문은 데이터 보호 작업에 대한 탐지 컨텍스트를 설정합니다.
+ **Sid**(선택 사항) - 명령문 식별자입니다.
+ **DataIdentifier** – CloudWatch Logs에서 스캔해야 하는 민감한 데이터입니다. 이러한 데이터로는 이름, 주소 또는 전화번호가 있습니다.
+ **Operation** - 후속 작업입니다. **Audit** 또는 **De-identify** 중 하나입니다. CloudWatch Logs는 민감한 데이터를 발견하면 해당 작업을 수행합니다.

```
{
  ...
  "Statement": [
    {
      "Sid": "audit-policy",
      "DataIdentifier": [
        "arn:aws:dataprotection::aws:data-identifier/Address"
      ],
      "Operation": {
        "Audit": {
          "FindingsDestination": {}
        }
      }
    },
```

### 정책 명령문 작업을 위한 JSON 속성
<a name="statement-operation-json-properties"></a>

정책 명령문은 다음 데이터 보호 작업 중 하나를 설정합니다.
+ **Audit** - 로깅을 중단하지 않고 지표 및 결과 보고서를 내보냅니다. 일치하는 문자열은 CloudWatch Logs가 CloudWatch의 **AWS/Logs** 네임스페이스에 게시하는 **LogEventsWithFindings** 지표를 증가시킵니다. 해당 지표를 사용하여 경보를 생성할 수 있습니다.

  결과 보고서의 예는 [감사 결과 보고서](mask-sensitive-log-data-audit-findings.md)를 참조하세요.

  CloudWatch Logs가 CloudWatch로 보내는 지표에 대한 자세한 내용은 [CloudWatch 지표를 사용한 모니터링](CloudWatch-Logs-Monitoring-CloudWatch-Metrics.md)을 참조하세요.
+ **De-identify** -로깅을 중단하지 않고 민감한 데이터를 마스킹 처리합니다.