Documento de política de roles CloudTrail para usar CloudWatch registros para monitorear - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Documento de política de roles CloudTrail para usar CloudWatch registros para monitorear

En esta sección se describe la política de permisos necesaria para que el CloudTrail rol envíe eventos de registro a CloudWatch Logs. Puede adjuntar un documento de política a un rol cuando lo configura CloudTrail para enviar eventos, como se describe enEnvío de eventos a Amazon CloudWatch Logs. También puede crear un rol con IAM. Para obtener más información, consulte Creación de un rol para un AWS servicio (AWS Management Console) o Creación de un rol (CLI y API).

El siguiente documento de política de ejemplo contiene los permisos necesarios para crear un CloudWatch flujo de registro en el grupo de registros que especifique y para enviar CloudTrail eventos a ese flujo de registro en la región EE.UU. Este (Ohio). (Esta es la política predeterminada para el rol de IAM predeterminado CloudTrail_CloudWatchLogs_Role).

nota

La política de funciones de supervisión de registros no se aplica a la política de funciones de supervisión de CloudWatch registros. La política de roles no admite el uso de aws:SourceArn yaws:SourceAccount.

{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]
    }
  ]
}

Si va a crear una política que también se puede utilizar para los registros de seguimiento de organización, deberá modificarla a partir la política predeterminada creada para el rol. Por ejemplo, la siguiente política otorga CloudTrail los permisos necesarios para crear un flujo de registro de CloudWatch registros en el grupo de registros que especifiques como valor de log_group_name, y para enviar CloudTrail eventos a ese flujo de registro tanto para los registros de la cuenta 1111 como para los registros de la organización creados en la AWS cuenta 1111 que se aplican a la AWS Organizations organización con el identificador de o-exampleorgid:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

Para obtener más información acerca de los registros de seguimiento de organización, consulte Creación de un registro de seguimiento para una organización.