Autorisations de journalisation

Le principal IAM utilisé pour configurer la destination de journalisation devra disposer de certaines autorisations pour que la journalisation fonctionne correctement. Vous trouverez ci-dessous les autorisations requises pour chaque destination de journalisation.

Pour la livraison à CloudWatch Logs :

ec2:ModifyVerifiedAccessInstanceLoggingConfigurationsur l'instance Verified Access
logs:CreateLogDelivery,logs:DeleteLogDelivery, logs:GetLogDeliverylogs:ListLogDeliveries, et logs:UpdateLogDelivery sur toutes les ressources
logs:DescribeLogGroupslogs:DescribeResourcePolicies, et logs:PutResourcePolicy sur le groupe de journaux de destination

Pour la livraison vers Amazon S3 :

ec2:ModifyVerifiedAccessInstanceLoggingConfigurationsur l'instance Verified Access
logs:CreateLogDelivery,logs:DeleteLogDelivery, logs:GetLogDeliverylogs:ListLogDeliveries, et logs:UpdateLogDelivery sur toutes les ressources
s3:GetBucketPolicyet s3:PutBucketPolicy sur le compartiment de destination

Pour la livraison à Firehose :

ec2:ModifyVerifiedAccessInstanceLoggingConfigurationsur l'instance Verified Access
firehose:TagDeliveryStreamsur toutes les ressources
iam:CreateServiceLinkedRolesur toutes les ressources
logs:CreateLogDelivery,logs:DeleteLogDelivery, logs:GetLogDeliverylogs:ListLogDeliveries, et logs:UpdateLogDelivery sur toutes les ressources

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Versions de journalisation

Activer ou désactiver les journaux