翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
機密性の高いログデータをマスキングで保護する
ロググループのデータ保護ポリシーを使用することで、CloudWatch Logs に取り込まれた機密データを保護できます。これらのポリシーを使うことで、アカウントのロググループが取り込んだログイベントに表示される機密データを、監査およびマスクできます。
データ保護ポリシーを作成すると、デフォルトでは、ユーザーの選択したデータ識別子に一致する機密データがすべての出力ポイント (CloudWatch Logs Insights、メトリクスフィルター、サブスクリプションフィルターなど) でマスクされます。マスクされていないデータを閲覧できるのは、logs:Unmask IAMアクセス許可を持つユーザーのみです。
アカウントのすべてのロググループに対してデータ保護ポリシーを作成できます。また、個々のロググループのデータ保護ポリシーも作成できます。アカウント全体に対するポリシーを作成すると、既存のロググループと今後作成するロググループの両方に、ポリシーが適用されます。
アカウント全体に対するデータ保護ポリシーを作成し、1 つのロググループに対するポリシーも作成すると、そのロググループには両方のポリシーが適用されます。いずれかのポリシーで指定されたマネージドデータ識別子は、すべてそのロググループで監査およびマスクされます。
注記
機密データのマスキングは、標準ログクラスのロググループでのみサポートされます。アカウント内のすべてのロググループに対してデータ保護ポリシーを作成する場合、ポリシーは標準ログクラスのロググループにのみ適用されます。ログクラスの詳細については、「ログクラス」を参照してください。
各ロググループで設定できるロググループレベルのデータ保護ポリシーは 1 つのみです。ただしそのポリシーでは、監査およびマスキングの対象となるマネージドデータ識別子を複数指定できます。データ保護ポリシーの文字数の上限は、30,720 文字です。
重要
機密データは、ロググループに取り込まれるときに検出され、マスクされます。データ保護ポリシーを設定しても、それ以前にロググループに取り込まれたログイベントはマスクされません。
CloudWatch Logs は多くのマネージドデータ識別子をサポートしており、財務データ、個人健康情報 (PHI)、個人を特定できる情報 (PII) を保護するために選択できる事前設定されたデータタイプを提供しています。CloudWatch Logs のデータ保護では、パターンマッチングと機械学習モデルを活用して機密データを検出できます。マネージドデータ識別子の種類によっては、検出は、機密データに密接に関連する特定のキーワードの検出結果にも依存します。また、カスタムデータ識別子を使用して、特定のユースケースに合わせたデータ識別子を作成することもできます。
選択されたデータ識別子に一致する機密データが検出されると、CloudWatch にメトリクスが発行されます。これは LogEventsWithFindings メトリクスで、AWS/Logs 名前空間で発行されます。このメトリクスは CloudWatch アラームを作成するために使用でき、グラフやダッシュボードで視覚化できます。データ保護によって発行されたメトリクスは無料で提供されるメトリクスなので、料金はかかりません。CloudWatch Logs が CloudWatch に送信するメトリクスの詳細については、「CloudWatch メトリクスによるモニタリング」を参照してください。
各マネージドデータ識別子は、特定の国またはリージョンのクレジットカード番号、 AWS シークレットアクセスキー、パスポート番号など、特定のタイプの機密データを検出するように設計されています。データ保護ポリシーを作成する際に、これらの識別子を使用してロググループが取り込んだログを分析し、検出された場合にアクションを実行するように設定できます。
CloudWatch Logs データ保護では、マネージドデータ識別子を使用して、次のカテゴリの機密データを検出できます。
プライベートキーや AWS シークレットアクセスキーなどの認証情報
クレジットカード番号などの財務情報
運転免許証や社会保障番号などの個人を特定できる情報 (PII)
健康保険または医療識別番号などの保護対象保健情報 (PHI)
IP アドレスや MAC アドレスなどのデバイス識別子
保護できるデータの種類の詳細については、「保護できるデータの種類」を参照してください。
目次
