기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 계정 전체 데이터 보호 정책 생성
CloudWatch Logs 콘솔 또는 AWS CLI 명령을 사용하여 계정의 모든 로그 그룹에 대해 민감한 데이터를 마스킹하는 데이터 보호 정책을 생성할 수 있습니다. 이는 현재 로그 그룹과 향후 생성하는 로그 그룹 모두에 영향을 미칩니다.
**중요**
민감한 데이터는 로그 그룹에 수집될 때 감지 및 마스킹 처리됩니다. 데이터 보호 정책을 설정하면 해당 시간 이전에 로그 그룹에 수집된 로그 이벤트는 마스킹 처리되지 않습니다.
**Topics**
+ [콘솔](#mask-sensitive-log-data-accountlevel-console)
+ [AWS CLI](#mask-sensitive-log-data-accountlevel-cli)
## 콘솔
**콘솔을 사용하여 계정 전체 데이터 보호 정책 생성**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)에서 CloudWatch 콘솔을 엽니다.
1. 탐색 창에서 **설정**을 선택합니다. 목록 하단 근처에 있습니다.
1. **로그** 탭을 선택합니다.
1. **구성**을 선택합니다.
1. **관리형 데이터 식별자**에서 모든 로그 그룹에 대해 감사하고 마스킹할 데이터 유형을 선택합니다. 선택 상자에 입력하여 원하는 식별자를 찾을 수 있습니다.
로그 데이터 및 비즈니스와 관련된 데이터 식별자만 선택하는 것이 좋습니다. 여러 유형의 데이터를 선택하면 오탐이 발생할 수 있습니다.
보호할 수 있는 데이터 유형에 대한 자세한 내용은 [보호할 수 있는 데이터 유형](protect-sensitive-log-data-types.md)을 참조하세요.
1. (선택 사항) 사용자 지정 데이터 식별자를 사용하여 다른 유형의 데이터를 감사하고 마스킹하려면 **사용자 지정 데이터 식별자 추가**를 선택합니다. 그런 다음 데이터 유형의 이름과 로그 이벤트에서 해당 데이터 유형을 검색하는 데 사용할 정규 표현식을 입력합니다. 자세한 내용은 [사용자 지정 데이터 식별자](CWL-custom-data-identifiers.md) 단원을 참조하십시오.
하나의 데이터 보호 정책에 최대 10개의 사용자 지정 데이터 식별자가 포함될 수 있습니다. 사용자 지정 데이터 식별자를 정의하는 각 정규 표현식은 200자 이하여야 합니다.
1. (선택 사항) 감사 결과를 전송할 서비스를 하나 이상 선택합니다. 이러한 서비스에 감사 결과를 보내지 않기로 선택하더라도 선택한 민감한 데이터 유형은 여전히 마스킹 처리됩니다.
1. **데이터 보호 활성화**를 선택합니다.
## AWS CLI
**AWS CLI 를 사용하여 데이터 보호 정책을 생성하려면**
1. 텍스트 편집기를 사용하여 `DataProtectionPolicy.json` 정책 파일을 생성합니다. 정책 구문에 대한 자세한 내용은 다음 섹션을 참조하세요.
1. 다음 명령을 입력합니다.
```
aws logs put-account-policy \
--policy-name TEST_POLICY --policy-type "DATA_PROTECTION_POLICY" \
--policy-document file://policy.json \
--scope "ALL" \
--region us-west-2
```
### AWS CLI 또는 API 작업에 대한 데이터 보호 정책 구문
AWS CLI 명령 또는 API 작업에 사용할 JSON 데이터 보호 정책을 생성할 때 정책에는 두 개의 JSON 블록이 포함되어야 합니다.
+ 첫 번째 블록은 `DataIdentifer` 배열 및 `Audit` 작업이 있는 `Operation` 속성을 모두 포함해야 합니다. `DataIdentifer` 배열은 마스킹 처리하려는 민감한 데이터 유형을 나열합니다. 이용 가능한 옵션에 대한 자세한 내용은 [보호할 수 있는 데이터 유형](protect-sensitive-log-data-types.md)을 참조하세요.
민감한 데이터 용어를 찾으려면 `Audit` 작업이 있는 `Operation` 속성이 필요합니다. 이 `Audit` 작업에는 `FindingsDestination` 객체가 포함되어야 합니다. 선택 사항으로 해당 `FindingsDestination` 객체를 사용하여 감사 결과 보고서를 보낼 하나 이상의 대상을 나열할 수 있습니다. 로그 그룹, Amazon Data Firehose 스트림, S3 버킷 같은 대상을 지정하는 경우 해당 대상이 이미 존재해야 합니다. 감사 결과 보고서의 예제는 [감사 결과 보고서](mask-sensitive-log-data-audit-findings.md)을 참조하세요.
+ 두 번째 블록은 `DataIdentifer` 배열 및 `Deidentify` 작업이 있는 `Operation` 속성을 모두 포함해야 합니다. `DataIdentifer` 배열은 정책의 첫 번째 블록에 있는 `DataIdentifer` 배열과 정확히 일치해야 합니다.
`Deidentify` 작업이 있는 `Operation` 속성은 실제로 데이터를 마스킹 처리하며, 해당 속성은 ` "MaskConfig": {}` 객체를 포함해야 합니다. ` "MaskConfig": {}` 객체는 비어 있어야 합니다.
다음은 관리형 데이터 식별자만 사용하는 데이터 보호 정책의 예제입니다. 이 정책은 이메일 주소와 미국 운전면허증을 마스킹합니다.
사용자 지정 데이터 식별자를 지정하는 정책에 대한 자세한 내용은 [데이터 보호 정책에서 사용자 지정 데이터 식별자 사용](CWL-custom-data-identifiers.md#using-custom-data-identifiers)을 참조하세요.
```
{
"Name": "data-protection-policy",
"Description": "test description",
"Version": "2021-06-01",
"Statement": [{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
},
"Firehose": {
"DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
},
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Deidentify": {
"MaskConfig": {}
}
}
}
]
}
```