Registros enviados a CloudWatch Logs - Amazon CloudWatch Logs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registros enviados a CloudWatch Logs

importante

Al configurar los tipos de registro de la siguiente lista para que se envíen a CloudWatch Logs, AWS crea o cambia las políticas de recursos asociadas al grupo de registros que recibe los registros, si es necesario. Siga leyendo esta sección para ver los detalles.

Esta sección se aplica cuando los tipos de registros enumerados en la tabla de la sección anterior se envían a CloudWatch Logs:

Permisos de usuario

Para poder configurar el envío de cualquiera de estos tipos de CloudWatch registros a Logs por primera vez, debe iniciar sesión en una cuenta con los siguientes permisos.

  • logs:CreateLogDelivery

  • logs:PutResourcePolicy

  • logs:DescribeResourcePolicies

  • logs:DescribeLogGroups

    nota

    Cuando especifique el permiso logs:DescribeLogGroups, logs:DescribeResourcePolicies o logs:PutResourcePolicy, asegúrese de configurar el ARN de su línea Resource para que utilice un comodín *, en lugar de especificar solo un nombre de grupo de registro. Por ejemplo, "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"

Si alguno de estos tipos de registros ya se está enviando a un grupo de CloudWatch registros de Logs, solo necesitará el logs:CreateLogDelivery permiso para configurar el envío de otro de estos tipos de registros a ese mismo grupo de registros.

Política de recursos del grupo de registro

El grupo de registro al que se envían los registros debe tener una política de recursos que incluya determinados permisos. Si el grupo de registros actualmente no tiene una política de recursos y el usuario que configura el registro tiene los logs:PutResourcePolicy logs:DescribeLogGroups permisos y los permisos para el grupo de registros, creará AWS automáticamente la siguiente política para dicho grupo cuando comience a enviar los CloudWatch registros a Logs. logs:DescribeResourcePolicies

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}

Si el grupo de registro tiene una política de recursos, pero esa política no contiene la instrucción que se muestra en la política anterior, y el usuario que configura el registro tiene los permisos logs:PutResourcePolicy, logs:DescribeResourcePolicies y logs:DescribeLogGroups para el grupo de registro, esa instrucción se anexa a la política de recursos del grupo de registro.