기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 단일 로그 그룹에 대한 데이터 보호 정책 생성
CloudWatch Logs 콘솔 또는 AWS CLI 명령을 사용하여 민감한 데이터를 마스킹하는 데이터 보호 정책을 생성할 수 있습니다.
각 로그 그룹에 하나의 데이터 보호 정책을 할당할 수 있습니다. 각 데이터 보호 정책은 여러 유형의 정보를 감사할 수 있습니다. 각 데이터 보호 정책은 하나의 감사 명령문을 포함할 수 있습니다.
**Topics**
+ [콘솔](#mask-sensitive-log-data-start-console)
+ [AWS CLI](#mask-sensitive-log-data-start-cli)
## 콘솔
**콘솔을 사용하여 데이터 보호 정책을 생성하려면**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)에서 CloudWatch 콘솔을 엽니다.
1. 탐색 창에서 **로그**, **로그 그룹**을 선택합니다.
1. 로그 그룹의 이름을 선택합니다.
1. **작업**, **데이터 보호 정책 생성**을 선택합니다.
1. **관리형 데이터 식별자**의 경우 이 로그 그룹에서 감사하고 마스킹 처리할 데이터 유형을 선택합니다. 선택 상자에 입력하여 원하는 식별자를 찾을 수 있습니다.
로그 데이터 및 비즈니스와 관련된 데이터 식별자만 선택하는 것이 좋습니다. 여러 유형의 데이터를 선택하면 오탐이 발생할 수 있습니다.
관리형 데이터 식별자를 사용하여 보호할 수 있는 데이터 유형에 대한 자세한 내용은 [보호할 수 있는 데이터 유형](protect-sensitive-log-data-types.md)을 참조하세요.
1. (선택 사항) 사용자 지정 데이터 식별자를 사용하여 다른 유형의 데이터를 감사하고 마스킹하려면 **사용자 지정 데이터 식별자 추가**를 선택합니다. 그런 다음 데이터 유형의 이름과 로그 이벤트에서 해당 데이터 유형을 검색하는 데 사용할 정규 표현식을 입력합니다. 자세한 내용은 [사용자 지정 데이터 식별자](CWL-custom-data-identifiers.md) 단원을 참조하십시오.
하나의 데이터 보호 정책에 최대 10개의 사용자 지정 데이터 식별자가 포함될 수 있습니다. 사용자 지정 데이터 식별자를 정의하는 각 정규 표현식은 200자 이하여야 합니다.
1. (선택 사항) 감사 결과를 전송할 서비스를 하나 이상 선택합니다. 이러한 서비스에 감사 결과를 보내지 않기로 선택하더라도 선택한 민감한 데이터 유형은 여전히 마스킹 처리됩니다.
1. **데이터 보호 활성화**를 선택합니다.
## AWS CLI
**AWS CLI 를 사용하여 데이터 보호 정책을 생성하려면**
1. 텍스트 편집기를 사용하여 `DataProtectionPolicy.json` 정책 파일을 생성합니다. 정책 구문에 대한 자세한 내용은 다음 섹션을 참조하세요.
1. 다음 명령을 입력합니다.
```
aws logs put-data-protection-policy --log-group-identifier "{{my-log-group}}" --policy-document file:///Path/DataProtectionPolicy.json --region {{us-west-2}}
```
### AWS CLI 또는 API 작업에 대한 데이터 보호 정책 구문
AWS CLI 명령 또는 API 작업에 사용할 JSON 데이터 보호 정책을 생성할 때 정책에는 두 개의 JSON 블록이 포함되어야 합니다.
+ 첫 번째 블록은 `DataIdentifer` 배열 및 `Audit` 작업이 있는 `Operation` 속성을 모두 포함해야 합니다. `DataIdentifer` 배열은 마스킹 처리하려는 민감한 데이터 유형을 나열합니다. 이용 가능한 옵션에 대한 자세한 내용은 [보호할 수 있는 데이터 유형](protect-sensitive-log-data-types.md)을 참조하세요.
민감한 데이터 용어를 찾으려면 `Audit` 작업이 있는 `Operation` 속성이 필요합니다. 이 `Audit` 작업에는 `FindingsDestination` 객체가 포함되어야 합니다. 선택 사항으로 해당 `FindingsDestination` 객체를 사용하여 감사 결과 보고서를 보낼 하나 이상의 대상을 나열할 수 있습니다. 로그 그룹, Amazon Data Firehose 스트림, S3 버킷 같은 대상을 지정하는 경우 해당 대상이 이미 존재해야 합니다. 감사 결과 보고서의 예제는 [감사 결과 보고서](mask-sensitive-log-data-audit-findings.md)을 참조하세요.
+ 두 번째 블록은 `DataIdentifer` 배열 및 `Deidentify` 작업이 있는 `Operation` 속성을 모두 포함해야 합니다. `DataIdentifer` 배열은 정책의 첫 번째 블록에 있는 `DataIdentifer` 배열과 정확히 일치해야 합니다.
`Deidentify` 작업이 있는 `Operation` 속성은 실제로 데이터를 마스킹 처리하며, 해당 속성은 ` "MaskConfig": {}` 객체를 포함해야 합니다. ` "MaskConfig": {}` 객체는 비어 있어야 합니다.
다음은 이메일 주소와 미국 운전면허증을 마스킹 처리하는 데이터 보호 정책의 예입니다.
```
{
"Name": "data-protection-policy",
"Description": "test description",
"Version": "2021-06-01",
"Statement": [{
"Sid": "audit-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Audit": {
"FindingsDestination": {
"CloudWatchLogs": {
"LogGroup": "{{EXISTING_LOG_GROUP_IN_YOUR_ACCOUNT}},"
},
"Firehose": {
"DeliveryStream": "{{EXISTING_STREAM_IN_YOUR_ACCOUNT}}"
},
"S3": {
"Bucket": "{{EXISTING_BUCKET}}"
}
}
}
}
},
{
"Sid": "redact-policy",
"DataIdentifier": [
"arn:aws:dataprotection::aws:data-identifier/EmailAddress",
"arn:aws:dataprotection::aws:data-identifier/DriversLicense-US"
],
"Operation": {
"Deidentify": {
"MaskConfig": {}
}
}
}
]
}
```