Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Buat kebijakan perlindungan data seluruh akun
Anda dapat menggunakan konsol CloudWatch Log atau AWS CLI perintah untuk membuat kebijakan perlindungan data guna menutupi data sensitif untuk semua grup log di akun Anda. Melakukannya memengaruhi grup log saat ini dan grup log yang Anda buat di masa mendatang.
**penting**
Data sensitif terdeteksi dan disamarkan saat tertelan ke dalam grup log. Saat Anda menetapkan kebijakan perlindungan data, peristiwa log yang dicerna ke grup log sebelum waktu tersebut tidak disamarkan.
**Topics**
+ [
## Konsol
](#mask-sensitive-log-data-accountlevel-console)
+ [
## AWS CLI
](#mask-sensitive-log-data-accountlevel-cli)
## Konsol
**Untuk menggunakan konsol untuk membuat kebijakan perlindungan data seluruh akun**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Pada panel navigasi, silakan pilih **Pengaturan**. Itu terletak di dekat bagian bawah daftar.
1. Pilih tab **Log**.
1. Pilih **Konfigurasikan**
1. Untuk **pengidentifikasi data terkelola**, pilih jenis data yang ingin Anda audit dan tutupi untuk semua grup log Anda. Anda dapat mengetikkan kotak pilihan untuk menemukan pengidentifikasi yang Anda inginkan.
Kami menyarankan Anda hanya memilih pengenal data yang relevan untuk data log dan bisnis Anda. Memilih banyak jenis data dapat menyebabkan positif palsu.
Untuk detail tentang jenis data yang dapat Anda lindungi, lihat[Jenis data yang dapat Anda lindungi](protect-sensitive-log-data-types.md).
1. (Opsional) Jika Anda ingin mengaudit dan menutupi jenis data lain dengan menggunakan pengidentifikasi data khusus, pilih **Tambahkan pengenal data khusus**. Kemudian masukkan nama untuk tipe data dan ekspresi reguler yang akan digunakan untuk mencari jenis data tersebut dalam peristiwa log. Untuk informasi selengkapnya, lihat [Pengidentifikasi data khusus](CWL-custom-data-identifiers.md).
Kebijakan perlindungan data tunggal dapat mencakup hingga 10 pengidentifikasi data kustom. Setiap ekspresi reguler yang mendefinisikan pengenal data kustom harus 200 karakter atau kurang.
1. (Opsional) Pilih satu atau lebih layanan untuk mengirimkan temuan audit ke. Bahkan jika Anda memilih untuk tidak mengirim temuan audit ke salah satu layanan ini, tipe data sensitif yang Anda pilih akan tetap tertutup.
1. Pilih **Aktifkan perlindungan data**.
## AWS CLI
**Untuk menggunakan AWS CLI untuk membuat kebijakan perlindungan data**
1. Gunakan editor teks untuk membuat file kebijakan bernama`DataProtectionPolicy.json`. Untuk informasi tentang sintaks kebijakan, lihat bagian berikut.
1. Masukkan perintah berikut:
```
aws logs put-account-policy \
--policy-name TEST_POLICY --policy-type "DATA_PROTECTION_POLICY" \
--policy-document file://policy.json \
--scope "ALL" \
--region us-west-2
```
### Sintaks kebijakan perlindungan data untuk AWS CLI atau operasi API
Saat Anda membuat kebijakan perlindungan data JSON untuk digunakan dalam operasi AWS CLI perintah atau API, kebijakan tersebut harus menyertakan dua blok JSON:
+ Blok pertama harus menyertakan `DataIdentifer` array dan `Operation` properti dengan `Audit` tindakan. `DataIdentifer`Array mencantumkan jenis data sensitif yang ingin Anda tutupi. Untuk informasi lebih lanjut tentang opsi yang tersedia, lihat [Jenis data yang dapat Anda lindungi](protect-sensitive-log-data-types.md).
`Operation`Properti dengan `Audit` tindakan diperlukan untuk menemukan istilah data sensitif. `Audit`Tindakan ini harus berisi `FindingsDestination` objek. Anda dapat menggunakan `FindingsDestination` objek tersebut secara opsional untuk mencantumkan satu atau beberapa tujuan untuk mengirim laporan temuan audit. Jika Anda menentukan tujuan seperti grup log, aliran Amazon Data Firehose, dan bucket S3, mereka harus sudah ada. Untuk contoh laporan audit findins, lihat. [Laporan temuan audit](mask-sensitive-log-data-audit-findings.md)
+ Blok kedua harus menyertakan `DataIdentifer` array dan `Operation` properti dengan `Deidentify` tindakan. `DataIdentifer`Array harus sama persis dengan `DataIdentifer` array di blok pertama kebijakan.
`Operation`Properti dengan `Deidentify` tindakan adalah apa yang sebenarnya menutupi data, dan itu harus berisi ` "MaskConfig": {}` objek. ` "MaskConfig": {}`Objek harus kosong.
Berikut ini adalah contoh kebijakan perlindungan data yang hanya menggunakan pengidentifikasi data terkelola. Kebijakan ini menutupi alamat email dan SIM Amerika Serikat.
Untuk informasi tentang kebijakan yang menentukan pengenal data kustom, lihat[Menggunakan pengidentifikasi data khusus dalam kebijakan perlindungan data Anda](CWL-custom-data-identifiers.md#using-custom-data-identifiers).
```
{
"Name": "data-protection-policy",
"Description": "test description",
"Version": "2021-06-01",
"Statement": [{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT,"
},
"Firehose": {
"DeliveryStream": "EXISTING_STREAM_IN_YOUR_ACCOUNT"
},
"S3": {
"Bucket": "EXISTING_BUCKET"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Deidentify": {
"MaskConfig": {}
}
}
}
]
}
```