Dokumen kebijakan peran CloudTrail untuk menggunakan CloudWatch Log untuk pemantauan - AWS CloudTrail

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Dokumen kebijakan peran CloudTrail untuk menggunakan CloudWatch Log untuk pemantauan

Bagian ini menjelaskan kebijakan izin yang diperlukan untuk CloudTrail peran untuk mengirim peristiwa log ke CloudWatch Log. Anda dapat melampirkan dokumen kebijakan ke peran saat mengonfigurasi CloudTrail untuk mengirim peristiwa, seperti yang dijelaskan dalamMengirim acara ke CloudWatch Log. Anda juga dapat membuat peran menggunakan IAM. Untuk informasi selengkapnya, lihat Membuat Peran untuk AWS Service (AWS Management Console) atau Membuat Peran (CLI dan API).

Contoh dokumen kebijakan berikut berisi izin yang diperlukan untuk membuat aliran CloudWatch log di grup log yang Anda tentukan dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut di Wilayah AS Timur (Ohio). (Ini adalah kebijakan default untuk peran IAM defaultCloudTrail_CloudWatchLogs_Role.)

catatan

Pencegahan wakil yang bingung tidak berlaku untuk kebijakan peran untuk pemantauan CloudWatch Log. Kebijakan peran tidak mendukung penggunaan aws:SourceArn danaws:SourceAccount.

{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]
    }
  ]
}

Jika Anda membuat kebijakan yang mungkin digunakan untuk jejak organisasi juga, Anda harus memodifikasinya dari kebijakan default yang dibuat untuk peran tersebut. Misalnya, kebijakan berikut memberikan izin yang diperlukan untuk membuat aliran log Log di grup CloudWatch log yang Anda tentukan sebagai nilai log_group_name, dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut untuk kedua jejak di akun 11111111111111 dan untuk jejak organisasi yang dibuat di AWS akun 11111111111111 yang diterapkan ke organisasi dengan ID CloudTrail o-exampleorgid: AWS Organizations 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

Untuk informasi selengkapnya tentang jalur organisasi, lihatMembuat jejak untuk organisasi.