기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 데이터 보호 정책을 생성하거나 사용하는 데 필요한 IAM 권한
<a name="data-protection-policy-permissions"></a>

로그 그룹에 대한 데이터 보호 정책을 사용하려면 다음 표에 나와 있는 특정 권한이 있어야 합니다. 권한은 계정 전체 데이터 보호 정책과 단일 로그 그룹에 적용되는 데이터 보호 정책에 따라 다릅니다.

## 계정 수준 데이터 보호 정책에 필요한 권한
<a name="data-protection-policy-permissions-accountlevel"></a>

**참고**  
Lambda 함수 내에서 이러한 작업을 수행하는 경우 Lambda 실행 역할 및 권한 경계에 다음 권한도 포함되어야 합니다.



- ** **감사 대상이 없는 데이터 보호 정책 생성** **
  - **IAM 권한 필요:** `logs:PutAccountPolicy` / **Resource:** `*`
  - **IAM 권한 필요:** `logs:PutDataProtectionPolicy` / **Resource:** `*`

- ** **CloudWatch Logs를 감사 대상으로 사용하여 데이터 보호 정책 생성** **
  - **IAM 권한 필요:** `logs:PutAccountPolicy` / **Resource:** `*`
  - **IAM 권한 필요:** `logs:PutDataProtectionPolicy` / **Resource:** `*`
  - **IAM 권한 필요:** `logs:CreateLogDelivery` / **Resource:** `*`
  - **IAM 권한 필요:** `logs:PutResourcePolicy` / **Resource:** `*`
  - **IAM 권한 필요:** `logs:DescribeResourcePolicies` / **Resource:** `*`
  - **IAM 권한 필요:** `logs:DescribeLogGroups` / **Resource:** `*`

- ** **Firehose를 감사 대상으로 사용하여 데이터 보호 정책 생성** **
  - **IAM 권한 필요:** `logs:PutAccountPolicy` / **Resource:** `*`
  - **IAM 권한 필요:** `logs:PutDataProtectionPolicy` / **Resource:** `*`
  - **IAM 권한 필요:** `logs:CreateLogDelivery` / **Resource:** `*`
  - **IAM 권한 필요:** `firehose:TagDeliveryStream` / **Resource:** `arn:aws:logs:::deliverystream/{{YOUR_DELIVERY_STREAM}}`

- ** **Amazon S3를 감사 대상으로 사용하여 데이터 보호 정책 생성** **
  - **IAM 권한 필요:** `logs:PutAccountPolicy` / **Resource:** `*`
  - **IAM 권한 필요:** `logs:PutDataProtectionPolicy` / **Resource:** `*`
  - **IAM 권한 필요:** `logs:CreateLogDelivery` / **Resource:** `*`
  - **IAM 권한 필요:** `s3:GetBucketPolicy` / **Resource:** `arn:aws:s3:::{{YOUR_BUCKET}}`
  - **IAM 권한 필요:** `s3:PutBucketPolicy` / **Resource:** `arn:aws:s3:::{{YOUR_BUCKET}}`

- ** **지정된 로그 그룹에서 마스킹 처리된 로그 이벤트 마스킹 처리 해제** **
  - **IAM 권한 필요:** `logs:Unmask`
  - **Resource:** `arn:aws:logs:::log-group:*`

- ** **기존 데이터 보호 정책 보기** **
  - **IAM 권한 필요:** `logs:GetDataProtectionPolicy`
  - **Resource:** `*`

- ** **데이터 보호 정책 삭제** **
  - **IAM 권한 필요:** `logs:DeleteAccountPolicy` / **Resource:** `*`
  - **IAM 권한 필요:** `logs:DeleteDataProtectionPolicy` / **Resource:** `*`



데이터 보호 감사 로그가 이미 대상으로 전송되고 있는 경우 동일한 대상으로 로그를 전송하는 다른 정책에는 `logs:PutDataProtectionPolicy` 및 `logs:CreateLogDelivery` 권한만 있으면 됩니다.

## 단일 로그 그룹에 대한 데이터 보호 정책에 필요한 권한
<a name="data-protection-policy-permissions-loggroup"></a>

**참고**  
Lambda 함수 내에서 이러한 작업을 수행하는 경우 Lambda 실행 역할 및 권한 경계에 다음 권한도 포함되어야 합니다.


| 연산 | IAM 권한 필요 | Resource | 
| --- | --- | --- | 
| 감사 대상이 없는 데이터 보호 정책 생성 | `logs:PutDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 
| CloudWatch Logs를 감사 대상으로 사용하여 데이터 보호 정책 생성 | `logs:PutDataProtectionPolicy`<br />`logs:CreateLogDelivery`<br />`logs:PutResourcePolicy`<br />`logs:DescribeResourcePolicies`<br />`logs:DescribeLogGroups` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`<br />`*`<br />`*`<br />`*`<br />`*` | 
| Firehose를 감사 대상으로 사용하여 데이터 보호 정책 생성 | `logs:PutDataProtectionPolicy`<br />`logs:CreateLogDelivery`<br />`firehose:TagDeliveryStream` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`<br />`*`<br />`arn:aws:logs:::deliverystream/{{YOUR_DELIVERY_STREAM}}` | 
| Amazon S3를 감사 대상으로 사용하여 데이터 보호 정책 생성 | `logs:PutDataProtectionPolicy`<br />`logs:CreateLogDelivery`<br />`s3:GetBucketPolicy`<br />`s3:PutBucketPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`<br />`*`<br />`arn:aws:s3:::{{YOUR_BUCKET}}`<br />`arn:aws:s3:::{{YOUR_BUCKET}}` | 
| 마스킹된 로그 이벤트 마스크 처리 해제 | `logs:Unmask` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 
| 기존 데이터 보호 정책 보기 | `logs:GetDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 
| 데이터 보호 정책 삭제 | `logs:DeleteDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 

데이터 보호 감사 로그가 이미 대상으로 전송되고 있는 경우 동일한 대상으로 로그를 전송하는 다른 정책에는 `logs:PutDataProtectionPolicy` 및 `logs:CreateLogDelivery` 권한만 있으면 됩니다.

## 샘플 데이터 보호 정책
<a name="data-protection-policy-sample"></a>

다음 샘플 정책을 사용하면 사용자는 세 가지 유형의 감사 대상 모두에 감사 결과를 전송할 수 있는 데이터 보호 정책을 생성, 확인 및 삭제할 수 있습니다. 사용자는 마스킹 처리되지 않은 데이터를 볼 수 없습니다.

------
#### [ JSON ]

****  

```
 
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowLogDeliveryConfiguration",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDataProtectionAndBucketConfiguration",
            "Effect": "Allow",
            "Action": [
                "logs:GetDataProtectionPolicy",
                "logs:DeleteDataProtectionPolicy",
                "logs:PutDataProtectionPolicy",
                "s3:PutBucketPolicy",
                "firehose:TagDeliveryStream",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
            "arn:aws:firehose:{{us-east-1}}:{{111122223333}}:deliverystream/{{delivery-stream-name}}",
            "arn:aws:s3:::{{amzn-s3-demo-destination-bucket}}",
            "arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:{{log-group-name}}:*"
            ]
        }
    ]
}
```

------