翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# データ保護ポリシーの作成または操作に必要な IAM 権限
<a name="data-protection-policy-permissions"></a>

ロググループのデータ保護ポリシーにアクセスできるようにするには、次の表で表示されている特定のアクセス権限を持っている必要があります。アクセス権限は、アカウント全体のデータ保護ポリシーと、単一のロググループに適用されるデータ保護ポリシーとで異なります。

## アカウントレベルのデータ保護ポリシーに必要なアクセス権限
<a name="data-protection-policy-permissions-accountlevel"></a>

**注記**  
Lambda 関数内でこれらの操作のいずれかを実行する場合、Lambda 実行ロールとアクセス許可の境界には次の権限も含める必要があります。



- ** **監査先を指定しないデータ保護ポリシーを作成する** **
  - **IAM 権限が必要です:** `logs:PutAccountPolicy` / **[リソース]:** `*`
  - **IAM 権限が必要です:** `logs:PutDataProtectionPolicy` / **[リソース]:** `*`

- ** **監査先として CloudWatch Logs を使用してデータ保護ポリシーを作成する** **
  - **IAM 権限が必要です:** `logs:PutAccountPolicy` / **[リソース]:** `*`
  - **IAM 権限が必要です:** `logs:PutDataProtectionPolicy` / **[リソース]:** `*`
  - **IAM 権限が必要です:** `logs:CreateLogDelivery` / **[リソース]:** `*`
  - **IAM 権限が必要です:** `logs:PutResourcePolicy` / **[リソース]:** `*`
  - **IAM 権限が必要です:** `logs:DescribeResourcePolicies` / **[リソース]:** `*`
  - **IAM 権限が必要です:** `logs:DescribeLogGroups` / **[リソース]:** `*`

- ** **監査先として Firehose を使用してデータ保護ポリシーを作成する** **
  - **IAM 権限が必要です:** `logs:PutAccountPolicy` / **[リソース]:** `*`
  - **IAM 権限が必要です:** `logs:PutDataProtectionPolicy` / **[リソース]:** `*`
  - **IAM 権限が必要です:** `logs:CreateLogDelivery` / **[リソース]:** `*`
  - **IAM 権限が必要です:** `firehose:TagDeliveryStream` / **[リソース]:** `arn:aws:logs:::deliverystream/{{YOUR_DELIVERY_STREAM}}`

- ** **監査先として Amazon S3 を使用してデータ保護ポリシーを作成する** **
  - **IAM 権限が必要です:** `logs:PutAccountPolicy` / **[リソース]:** `*`
  - **IAM 権限が必要です:** `logs:PutDataProtectionPolicy` / **[リソース]:** `*`
  - **IAM 権限が必要です:** `logs:CreateLogDelivery` / **[リソース]:** `*`
  - **IAM 権限が必要です:** `s3:GetBucketPolicy` / **[リソース]:** `arn:aws:s3:::{{YOUR_BUCKET}}`
  - **IAM 権限が必要です:** `s3:PutBucketPolicy` / **[リソース]:** `arn:aws:s3:::{{YOUR_BUCKET}}`

- ** **指定したロググループのマスクされたログイベントのマスクを外す** **
  - **IAM 権限が必要です:** `logs:Unmask`
  - **[リソース]:** `arn:aws:logs:::log-group:*`

- ** **既存のデータ保護ポリシーを表示する** **
  - **IAM 権限が必要です:** `logs:GetDataProtectionPolicy`
  - **[リソース]:** `*`

- ** **データ保護ポリシーを削除する** **
  - **IAM 権限が必要です:** `logs:DeleteAccountPolicy` / **[リソース]:** `*`
  - **IAM 権限が必要です:** `logs:DeleteDataProtectionPolicy` / **[リソース]:** `*`



いずれかのデータ保護監査ログがすでに宛先に送信されている場合、同じ宛先にログを送信する他のポリシーに必要なのは `logs:PutDataProtectionPolicy` および `logs:CreateLogDelivery` 権限のみです。

## 1 つのロググループのデータ保護ポリシーに必要なアクセス権限
<a name="data-protection-policy-permissions-loggroup"></a>

**注記**  
Lambda 関数内でこれらの操作のいずれかを実行する場合、Lambda 実行ロールとアクセス許可の境界には次の権限も含める必要があります。


| 運用 | IAM 権限が必要です | [リソース]  | 
| --- | --- | --- | 
| 監査先を指定しないデータ保護ポリシーを作成する | `logs:PutDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 
| 監査先として CloudWatch Logs を使用してデータ保護ポリシーを作成する | `logs:PutDataProtectionPolicy`<br />`logs:CreateLogDelivery`<br />`logs:PutResourcePolicy`<br />`logs:DescribeResourcePolicies`<br />`logs:DescribeLogGroups` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`<br />`*`<br />`*`<br />`*`<br />`*` | 
| 監査先として Firehose を使用してデータ保護ポリシーを作成する | `logs:PutDataProtectionPolicy`<br />`logs:CreateLogDelivery`<br />`firehose:TagDeliveryStream` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`<br />`*`<br />`arn:aws:logs:::deliverystream/{{YOUR_DELIVERY_STREAM}}` | 
| 監査先として Amazon S3 を使用してデータ保護ポリシーを作成する | `logs:PutDataProtectionPolicy`<br />`logs:CreateLogDelivery`<br />`s3:GetBucketPolicy`<br />`s3:PutBucketPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`<br />`*`<br />`arn:aws:s3:::{{YOUR_BUCKET}}`<br />`arn:aws:s3:::{{YOUR_BUCKET}}` | 
| マスクされたログイベントをマスク解除する | `logs:Unmask` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 
| 既存のデータ保護ポリシーを表示する | `logs:GetDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 
| データ保護ポリシーを削除する | `logs:DeleteDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` | 

いずれかのデータ保護監査ログがすでに宛先に送信されている場合、同じ宛先にログを送信する他のポリシーに必要なのは `logs:PutDataProtectionPolicy` および `logs:CreateLogDelivery` 権限のみです。

## データ保護ポリシーのサンプル
<a name="data-protection-policy-sample"></a>

次のサンプルポリシーにより、3 種類の監査先すべてに監査結果を送信できるデータ保護ポリシーを、ユーザーが作成、表示、削除できます。ユーザーはマスクされていないデータを確認することはできません。

------
#### [ JSON ]

****  

```
 
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowLogDeliveryConfiguration",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDataProtectionAndBucketConfiguration",
            "Effect": "Allow",
            "Action": [
                "logs:GetDataProtectionPolicy",
                "logs:DeleteDataProtectionPolicy",
                "logs:PutDataProtectionPolicy",
                "s3:PutBucketPolicy",
                "firehose:TagDeliveryStream",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
            "arn:aws:firehose:{{us-east-1}}:{{111122223333}}:deliverystream/{{delivery-stream-name}}",
            "arn:aws:s3:::{{amzn-s3-demo-destination-bucket}}",
            "arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:{{log-group-name}}:*"
            ]
        }
    ]
}
```

------