翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # 機密性の高いログデータをマスキングで保護する ロググループの*データ保護ポリシー*を使用することで、CloudWatch Logs に取り込まれた機密データを保護できます。これらのポリシーを使うことで、アカウントのロググループが取り込んだログイベントに表示される機密データを、監査およびマスクできます。 データ保護ポリシーを作成すると、デフォルトでは、ユーザーの選択したデータ識別子に一致する機密データがすべての出力ポイント (CloudWatch Logs Insights、メトリクスフィルター、サブスクリプションフィルターなど) でマスクされます。マスクされていないデータを閲覧できるのは、`logs:Unmask` IAMアクセス許可を持つユーザーのみです。 アカウントのすべてのロググループに対してデータ保護ポリシーを作成できます。また、個々のロググループのデータ保護ポリシーも作成できます。アカウント全体に対するポリシーを作成すると、既存のロググループと今後作成するロググループの両方に、ポリシーが適用されます。 アカウント全体に対するデータ保護ポリシーを作成し、1 つのロググループに対するポリシーも作成すると、そのロググループには両方のポリシーが適用されます。いずれかのポリシーで指定されたマネージドデータ識別子は、すべてそのロググループで監査およびマスクされます。 **注記** 機密データのマスキングは、標準ログクラスと低頻度アクセスログクラスの両方のロググループでサポートされています。ログクラスの詳細については、「[ログクラス](CloudWatch_Logs_Log_Classes.md)」を参照してください。 各ロググループで設定できるロググループレベルのデータ保護ポリシーは 1 つのみです。ただしそのポリシーでは、監査およびマスキングの対象となるマネージドデータ識別子を複数指定できます。データ保護ポリシーの文字数の上限は、30,720 文字です。 **重要** 機密データは、ロググループに取り込まれるときに検出され、マスクされます。データ保護ポリシーを設定しても、それ以前にロググループに取り込まれたログイベントはマスクされません。 CloudWatch Logs は多くの*マネージドデータ識別子*をサポートしており、財務データ、個人健康情報 (PHI)、個人を特定できる情報 (PII) を保護するために選択できる事前設定されたデータタイプを提供しています。CloudWatch Logs のデータ保護では、パターンマッチングと機械学習モデルを活用して機密データを検出できます。マネージドデータ識別子の種類によっては、検出は、機密データに密接に関連する特定のキーワードの検出結果にも依存します。また、カスタムデータ識別子を使用して、特定のユースケースに合わせたデータ識別子を作成することもできます。 選択されたデータ識別子に一致する機密データが検出されると、CloudWatch にメトリクスが発行されます。これは **LogEventsWithFindings** メトリクスで、**AWS/Logs** 名前空間で発行されます。このメトリクスは CloudWatch アラームを作成するために使用でき、グラフやダッシュボードで視覚化できます。データ保護によって発行されたメトリクスは無料で提供されるメトリクスなので、料金はかかりません。CloudWatch Logs が CloudWatch に送信するメトリクスの詳細については、「[CloudWatch メトリクスによるモニタリング](CloudWatch-Logs-Monitoring-CloudWatch-Metrics.md)」を参照してください。 各マネージドデータ識別子は、特定の国またはリージョンのクレジットカード番号、 AWS シークレットアクセスキー、パスポート番号など、特定のタイプの機密データを検出するように設計されています。データ保護ポリシーを作成する際に、これらの識別子を使用してロググループが取り込んだログを分析し、検出された場合にアクションを実行するように設定できます。 CloudWatch Logs データ保護では、マネージドデータ識別子を使用して、次のカテゴリの機密データを検出できます。 + プライベートキーや AWS シークレットアクセスキーなどの認証情報 + クレジットカード番号などの財務情報 + 運転免許証や社会保障番号などの個人を特定できる情報 (PII) + 健康保険または医療識別番号などの保護対象保健情報 (PHI) + IP アドレスや MAC アドレスなどのデバイス識別子 保護できるデータの種類の詳細については、「[保護できるデータの種類](protect-sensitive-log-data-types.md)」を参照してください。 **Contents** + [データ保護ポリシーを理解する](cloudwatch-logs-data-protection-policies.md) + [データ保護ポリシーとは](cloudwatch-logs-data-protection-policies.md#what-are-data-protection-policies) + [データ保護ポリシーの構成の仕組み](cloudwatch-logs-data-protection-policies.md#overview-of-data-protection-policies) + [データ保護ポリシーの JSON プロパティ](cloudwatch-logs-data-protection-policies.md#data-protection-policy-json-properties) + [ポリシーステートメントの JSON プロパティ](cloudwatch-logs-data-protection-policies.md#policy-statement-json-properties) + [ポリシーステートメントオペレーションの JSON プロパティ](cloudwatch-logs-data-protection-policies.md#statement-operation-json-properties) + [データ保護ポリシーの作成または操作に必要な IAM 権限](data-protection-policy-permissions.md) + [アカウントレベルのデータ保護ポリシーに必要なアクセス権限](data-protection-policy-permissions.md#data-protection-policy-permissions-accountlevel) + [1 つのロググループのデータ保護ポリシーに必要なアクセス権限](data-protection-policy-permissions.md#data-protection-policy-permissions-loggroup) + [データ保護ポリシーのサンプル](data-protection-policy-permissions.md#data-protection-policy-sample) + [アカウント全体のデータ保護ポリシーを作成する](mask-sensitive-log-data-accountlevel.md) + [コンソール](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-accountlevel-console) + [AWS CLI](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-accountlevel-cli) + [AWS CLI または API オペレーションのデータ保護ポリシー構文](mask-sensitive-log-data-accountlevel.md#mask-sensitive-log-data-policysyntax-account) + [1 つのロググループ用のデータ保護ポリシーを作成する](mask-sensitive-log-data-start.md) + [コンソール](mask-sensitive-log-data-start.md#mask-sensitive-log-data-start-console) + [AWS CLI](mask-sensitive-log-data-start.md#mask-sensitive-log-data-start-cli) + [AWS CLI または API オペレーションのデータ保護ポリシー構文](mask-sensitive-log-data-start.md#mask-sensitive-log-data-policysyntax) + [データをマスクせずに表示する](mask-sensitive-log-data-viewunmasked.md) + [監査結果レポート](mask-sensitive-log-data-audit-findings.md) + [で保護された バケットに監査結果を送信するために必要なキーポリシー AWS KMS](mask-sensitive-log-data-audit-findings.md#mask-sensitive-log-data-audit-findings-kms) + [保護できるデータの種類](protect-sensitive-log-data-types.md) + [機密データの種類についての CloudWatch Logs マネージドデータ識別子](CWL-managed-data-identifiers.md) + [認証情報](protect-sensitive-log-data-types-credentials.md) + [認証情報データタイプのデータ識別子 ARN](protect-sensitive-log-data-types-credentials.md#cwl-data-protection-credentials-arns) + [デバイス識別子](protect-sensitive-log-data-types-device.md) + [デバイスデータタイプのデータ識別子 ARN](protect-sensitive-log-data-types-device.md#cwl-data-protection-devices-arns) + [財務情報](protect-sensitive-log-data-types-financial.md) + [財務データタイプのデータ識別子 ARN](protect-sensitive-log-data-types-financial.md#cwl-data-protection-financial-arns) + [保護対象保健情報 (PHI)](protect-sensitive-log-data-types-health.md) + [保護対象の医療情報 (PHI) データタイプのデータ識別子 ARN](protect-sensitive-log-data-types-health.md#cwl-data-protection-phi-arns) + [個人を特定できる情報 (PII)](protect-sensitive-log-data-types-pii.md) + [運転免許証識別番号のキーワード](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-dl-keywords) + [国民識別番号のキーワード](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-natlid-keywords) + [パスポート番号のキーワード](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-pii-passport-keywords) + [納税者識別と参照番号のキーワード](protect-sensitive-log-data-types-pii.md#CWL-managed-data-identifiers-financial-tin-keywords) + [個人を特定できる情報 (PII) のデータ識別子 ARN](protect-sensitive-log-data-types-pii.md#CWL-data-protection-pii-arns) + [カスタムデータ識別子](CWL-custom-data-identifiers.md) + [SNS カスタムデータ識別子とは](CWL-custom-data-identifiers.md#what-are-custom-data-identifiers) + [カスタムデータ識別子の制約](CWL-custom-data-identifiers.md#custom-data-identifiers-constraints) + [コンソールでのカスタムデータ識別子の使用](CWL-custom-data-identifiers.md#using-custom-data-identifiers-console) + [データ保護ポリシーでカスタムデータ識別子を使用する](CWL-custom-data-identifiers.md#using-custom-data-identifiers)