# 保护敏感数据
<a name="mask-sensitive-data"></a>

Amazon CloudWatch Logs 通过数据保护策略识别敏感数据，并制定相应的数据防护操作。要选择感兴趣的敏感数据，您可以使用数据标识符。随后 Amazon CloudWatch Logs 将通过机器学习与模式匹配技术检测敏感数据。您可定义审计和掩蔽操作，以便对敏感数据调查发现进行日志记录，并在查看日志事件时对敏感数据进行掩蔽。

有关更多信息，请参阅[使用掩蔽保护敏感日志数据](https://docs.amazonaws.cn/AmazonCloudWatch/latest/logs/cloudwatch-logs-data-protection-policies.html)。

您可在**账户层级**或**日志组层级**为 Amazon Bedrock AgentCore 配置数据保护功能。在账户层级数据保护模式下，数据保护规则将应用于账户内的所有日志。在日志层级数据保护模式下，数据保护规则将应用于账户内的指定日志组。通过该配置，可对账户内 PII 数据的脱敏方式实现精细化管控。

**在账户层级配置数据保护功能**

1. 打开 Amazon CloudWatch 控制台。

1. 在导航窗格中，选择**设置**。

1. 选择**日志**选项卡。

1. 选择**配置数据保护账户策略**。

1. 指定与数据相关的数据标识符。
   + 若使用预定义数据标识符，在**托管数据标识符**下拉菜单中，选择与数据相关的数据标识符。
   + 若使用自定义数据标识符，选择**添加自定义数据标识符**，然后为该标识符指定名称，并为待保护数据设置正则表达式（Regex）匹配规则。

1. （*可选*）为审计调查发现指定接收目标。
   + 要将审计调查发现发送到 CloudWatch 日志，请选择 **Amazon CloudWatch Logs**，然后选择目标日志组。
   + 要将审计调查发现发送到 Firehose 数据流，请选择 **Amazon Data Firehose**，然后选择目标 Firehose 数据流。
   + 要将审计调查发现发送到 Amazon S3 存储桶，请选择 **Amazon S3**，然后选择目标 Amazon S3 存储桶。

1. 选择 **Activate data protection**（激活数据保护）。

**在日志组层级配置数据保护功能**

1. 打开 Amazon CloudWatch 控制台。

1. 在导航窗格中，依次选择**日志**、**日志管理**。

1. 选择**日志组**选项卡，选取要启用数据保护的日志组，然后选择**创建数据保护策略**。

1. 指定与数据相关的数据标识符。
   + 若使用预定义数据标识符，在**托管数据标识符**下拉菜单中，选择与数据相关的数据标识符。
   + 若使用自定义数据标识符，选择**添加自定义数据标识符**，然后为该标识符指定名称，并为待保护数据设置正则表达式（Regex）匹配规则。

1. （*可选*）为审计调查发现指定接收目标。
   + 要将审计调查发现发送到 CloudWatch 日志，请选择 **Amazon CloudWatch Logs**，然后选择目标日志组。
   + 要将审计调查发现发送到 Firehose 数据流，请选择 **Amazon Data Firehose**，然后选择目标 Firehose 数据流。
   + 要将审计调查发现发送到 Amazon S3 存储桶，请选择 **Amazon S3**，然后选择目标 Amazon S3 存储桶。

1. 选择 **Activate data protection**（激活数据保护）。