Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erstellen einer kontoweiten Datenschutzrichtlinie
<a name="mask-sensitive-log-data-accountlevel"></a>

Sie können die CloudWatch Logs-Konsole oder AWS CLI Befehle verwenden, um eine Datenschutzrichtlinie zu erstellen, um sensible Daten für alle Protokollgruppen in Ihrem Konto zu maskieren. Dies wirkt sich sowohl auf aktuelle Protokollgruppen als auch auf Protokollgruppen aus, die Sie in Zukunft erstellen.

**Wichtig**  
Vertrauliche Daten werden erkannt und maskiert, wenn sie in die Protokollgruppe aufgenommen werden. Wenn Sie eine Datenschutzrichtlinie festlegen, werden Protokollereignisse, die vor diesem Zeitpunkt in die Protokollgruppe aufgenommen wurden, nicht maskiert.

**Topics**
+ [Konsole](#mask-sensitive-log-data-accountlevel-console)
+ [AWS CLI](#mask-sensitive-log-data-accountlevel-cli)

## Konsole
<a name="mask-sensitive-log-data-accountlevel-console"></a>

**Verwenden der Konsole zum Erstellen einer kontoweiten Datenschutzrichtlinie**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1.  Wählen Sie im Navigationsbereich **Settings** (Einstellungen). Diese Option befindet sich am Ende der Liste. 

1. Wählen Sie die Registerkarte **Protokolle** aus.

1. Wählen Sie **Konfigurieren** aus.

1. Wählen Sie **unter Verwaltete Datenkennungen** die Datentypen aus, die Sie für all Ihre Protokollgruppen prüfen und maskieren möchten. Sie können im Auswahlfeld eingeben, welche Kennungen Sie finden möchten.

   Wir empfehlen Ihnen, nur die Datenkennungen auszuwählen, die für Ihre Protokolldaten und Ihr Unternehmen relevant sind. Die Auswahl vieler Datentypen kann zu falsch-positiven Ergebnissen führen. 

   Einzelheiten zu den Datentypen, die Sie schützen können, finden Sie unter [Arten von Daten, die Sie schützen können](protect-sensitive-log-data-types.md).

1. (Optional) Wenn Sie andere Datentypen mithilfe benutzerdefinierter Datenbezeichner prüfen und maskieren möchten, wählen Sie Benutzerdefinierten Datenbezeichner **hinzufügen** aus. Geben Sie dann einen Namen für den Datentyp und den regulären Ausdruck ein, mit dem in den Protokollereignissen nach diesem Datentyp gesucht werden soll. Weitere Informationen finden Sie unter [Benutzerdefinierte Datenbezeichner](CWL-custom-data-identifiers.md).

   Eine einzelne Datenschutzrichtlinie kann bis zu 10 benutzerdefinierte Datenkennungen enthalten. Jeder reguläre Ausdruck, der einen benutzerdefinierten Datenbezeichner definiert, muss 200 Zeichen oder weniger lang sein.

1. (Optional) Wählen Sie einen oder mehrere Services aus, an die Sie die Audit-Ergebnisse senden möchten. Auch wenn Sie sich dafür entscheiden, keine Audit-Ergebnisse an einen dieser Services zu senden, werden die von Ihnen ausgewählten vertraulichen Datentypen dennoch maskiert.

1. Wählen Sie **Activate data protection** (Datenschutz aktivieren) aus.

## AWS CLI
<a name="mask-sensitive-log-data-accountlevel-cli"></a>

**Um den AWS CLI zu verwenden, um eine Datenschutzrichtlinie zu erstellen**

1. Verwenden Sie einen Text-Editor, um eine Richtliniendatei mit dem Namen `DataProtectionPolicy.json` zu erstellen. Informationen zur Richtliniensyntax finden Sie im folgenden Abschnitt.

1. Geben Sie den folgenden Befehl ein:

   ```
   aws logs put-account-policy \
   --policy-name TEST_POLICY --policy-type "DATA_PROTECTION_POLICY" \
   --policy-document file://policy.json \
   --scope "ALL" \
   --region us-west-2
   ```

### Syntax der Datenschutzrichtlinie für AWS CLI unsere API-Operationen
<a name="mask-sensitive-log-data-policysyntax-account"></a>

Wenn Sie eine JSON-Datenschutzrichtlinie zur Verwendung in einem AWS CLI Befehl oder einer API-Operation erstellen, muss die Richtlinie zwei JSON-Blöcke enthalten:
+ Der erste Block muss sowohl ein `DataIdentifer`-Array als auch eine `Operation`-Eigenschaft mit einer`Audit`-Aktion enthalten. Das `DataIdentifer`-Array listet die vertraulichen Datentypen auf, die Sie maskieren möchten. Weitere Informationen zu den verfügbaren Optionen finden Sie unter [Arten von Daten, die Sie schützen können](protect-sensitive-log-data-types.md).

  Die `Operation`-Eigenschaft mit der `Audit`-Aktion ist erforderlich, um die Begriffe für vertrauliche Daten zu finden. Diese `Audit`-Aktion muss ein `FindingsDestination`-Objekt enthalten. Sie können dieses `FindingsDestination`-Objekt optional verwenden, um ein oder mehrere Ziele aufzulisten, an die Prüfergebnisberichte gesendet werden sollen. Wenn Sie Ziele wie Protokollgruppen, Amazon Data Firehose-Streams und S3-Buckets angeben, müssen diese bereits vorhanden sein. Ein Beispiel für einen Prüfergebnisbericht finden Sie unter [Prüfergebnisberichte](mask-sensitive-log-data-audit-findings.md).
+ Der zweite Block muss sowohl ein `DataIdentifer`-Array als auch eine `Operation`-Eigenschaft mit einer `Deidentify`-Aktion enthalten. Das `DataIdentifer`-Array muss genau mit dem `DataIdentifer`-Array im ersten Block der Richtlinie übereinstimmen.

  Die `Operation`-Eigenschaft mit der `Deidentify`-Aktion maskiert die Daten tatsächlich und muss das` "MaskConfig": {}`-Objekt enthalten. Das ` "MaskConfig": {}`-Objekt muss leer sein.

Im Folgenden finden Sie ein Beispiel für eine Datenschutzrichtlinie, die nur verwaltete Datenkennungen verwendet. Diese Richtlinie maskiert E-Mail-Adressen und Führerscheine in Vereinigte Staaten.

Informationen zu Richtlinien, die benutzerdefinierte Datenkennungen angeben, finden Sie unter[Verwenden benutzerdefinierter Datenkennungen in Ihrer Datenschutzrichtlinie](CWL-custom-data-identifiers.md#using-custom-data-identifiers). 

```
{
    "Name": "data-protection-policy",
    "Description": "test description",
    "Version": "2021-06-01",
    "Statement": [{
            "Sid": "audit-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Audit": {
                    "FindingsDestination": {
                        "CloudWatchLogs": {
                            "LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
                        },
                        "Firehose": {
                            "DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
                        },
                        "S3": {
                            "Bucket": "EXISTING_BUCKET"
                        }
                    }
                }
            }
        },
        {
            "Sid": "redact-policy",
            "DataIdentifier": [
                "arn:aws:dataprotection::aws:data-identifier/EmailAddress",
                "arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
            ],
            "Operation": {
                "Deidentify": {
                    "MaskConfig": {}
                }
            }
        }
    ]
}
```