Rollenrichtlinien-Dokument CloudTrail zur Verwendung von CloudWatch Logs zur Überwachung - AWS CloudTrail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Rollenrichtlinien-Dokument CloudTrail zur Verwendung von CloudWatch Logs zur Überwachung

In diesem Abschnitt wird die Berechtigungsrichtlinie beschrieben, die für die CloudTrail Rolle erforderlich ist, um Protokollereignisse an CloudWatch Logs zu senden. Sie können ein Richtliniendokument an eine Rolle anhängen, wenn Sie CloudTrail das Senden von Ereignissen konfigurieren, wie unter beschriebenEreignisse an CloudWatch Logs senden. Sie können eine Rolle auch mithilfe von erstellenIAM. Weitere Informationen finden Sie unter Eine Rolle erstellen, um Berechtigungen an eine zu delegieren AWS-Service oder Eine IAM Rolle erstellen (AWS CLI).

Das folgende Beispielrichtliniendokument enthält die Berechtigungen, die erforderlich sind, um einen CloudWatch Protokollstream in der von Ihnen angegebenen Protokollgruppe zu erstellen und CloudTrail Ereignisse an diesen Protokollstream in der Region USA Ost (Ohio) zu übermitteln. (Dies ist die Standardrichtlinie für die IAM StandardrolleCloudTrail_CloudWatchLogs_Role.)

Anmerkung

Die Option „Confused Deputy“ gilt nicht für die Rollenrichtlinie für die CloudWatch Protokollüberwachung. Die Rollenrichtlinie unterstützt die Verwendung von aws:SourceArn und nichtaws:SourceAccount.

{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]
    }
  ]
}

Wenn Sie eine Richtlinie erstellen, die möglicherweise auch für Organisations-Trails verwendet wird, müssen Sie diese aus der für die Rolle erstellten Standardrichtlinie heraus ändern. Die folgende Richtlinie gewährt CloudTrail beispielsweise die erforderlichen Berechtigungen, um einen CloudWatch Log-Log-Stream in der Protokollgruppe zu erstellen, die Sie als Wert für angeben log_group_name, und um CloudTrail Ereignisse für beide Pfade im Konto 111111111111 und für Organisationspfade, die im AWS Konto 111111111111 erstellt wurden und auf die Organisation mit der ID von angewendet werden, an diesen Protokollstream weiterzuleiten AWS Organizations o-exampleorgid:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

Weitere Informationen zu Organisations-Trails finden Sie unter Erstellen eines Trails für eine Organisation.