모니터링에 CloudWatch 로그를 CloudTrail 사용하기 위한 역할 정책 문서 - AWS CloudTrail

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

모니터링에 CloudWatch 로그를 CloudTrail 사용하기 위한 역할 정책 문서

이 섹션에서는 CloudTrail 역할이 로그 이벤트를 CloudWatch Logs로 보내는 데 필요한 권한 정책을 설명합니다. 에 설명된 대로 이벤트를 CloudTrail 전송하도록 구성할 때 역할에 정책 문서를 연결할 수 CloudWatch Logs에 이벤트 전송 있습니다. 또한 IAM을 사용하여 역할을 생성할 수도 있습니다. 자세한 내용은 AWS 서비스에 대한 역할 생성 (AWS Management Console) 또는 역할 생성 (CLI 및 API) 을 참조하십시오.

다음 예제 정책 문서에는 지정한 로그 그룹에서 CloudWatch 로그 스트림을 생성하고 미국 동부 (오하이오) 지역의 해당 로그 스트림으로 CloudTrail 이벤트를 전송하는 데 필요한 권한이 포함되어 있습니다. (이는 기본 IAM 역할 CloudTrail_CloudWatchLogs_Role에 대한 기본 정책입니다.)

참고

잘못된 대리 예방은 CloudWatch 로그 모니터링의 역할 정책에는 적용되지 않습니다. 역할 정책은 aws:SourceArn 및 사용을 지원하지 않습니다aws:SourceAccount.

{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]
    }
  ]
}

조직 추적에도 사용할 수 있는 정책을 만들려는 경우, 역할에 대해 생성된 기본 정책에서 수정해야 합니다. 예를 들어, 다음 정책은 log_group_name의 값으로 지정한 로그 그룹에 로그 로그 스트림을 생성하고, 111111111111 계정의 트레일과 o-exampleorgid라는 ID를 가진 조직에 적용되는 111111111111 AWS 계정에서 생성된 조직 트레일에 대한 CloudTrail 이벤트를 해당 로그 스트림에 전달하는 데 필요한 권한을 CloudTrail 부여합니다. CloudWatch AWS Organizations 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

조직 추적에 대한 자세한 내용은 조직에 대한 추적 생성을 참조하십시오.