投稿日: Jun 8, 2023
Amazon CloudWatch Logs で、アカウントレベルのデータ保護ポリシー設定のサポートが開始されました。これにより、AWS アカウントの既存および将来のロググループのすべてに適用されるデータ保護ポリシーを作成できるようになりました。
ユーザーの希望は、すべてのログにわたって機密データを検出し、一貫してマスキングすることです。アカウントレベルのポリシーを使用すると、すべてのログを合理的かつ一貫した方法で保護できます。アカウントレベルのポリシーは、ロググループレベルのポリシーと併せて機能するため、機密のログデータのパターンを選択して AWS アカウントのすべてのロググループにわたって検出を行い、幅広い範囲に保護を適用できます。データ保護は、パターンマッチングと機械学習機能を活用して、送信中の機密ログデータを検出して保護する機能です。Amazon CloudWatch Logs のログデータ保護により、システムやアプリケーションで記録されたクレジットカード番号や政府発行 ID など、送信中の機密ログデータを検出して保護することが可能です。
データ保護に関するアカウントレベルのポリシーを作成し、AWS Software Development Kit (SDK)、AWS コマンドラインインターフェイス (CLI)、または AWS マネジメントコンソールを使用して Amazon CloudWatch Logs で機密データを検出しマスキングを行えます。データ保護に関するアカウントレベルのポリシー設定は、すべての AWS 商用リージョンで利用できます。Amazon CloudWatch Logs のデータ保護の詳細については、開発者ガイド、および API リファレンスドキュメントをご覧ください。データ保護の料金は、スキャンしたデータ 1 GB あたり 0.12 USD です。料金の例については、CloudWatch 料金表の Detecting and masking sensitive log data with data protection (データ保護による機密ログデータの検出とマスキング) を参照してください。