Dokumen kebijakan peran CloudTrail untuk menggunakan CloudWatch Log untuk pemantauan - AWS CloudTrail

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Dokumen kebijakan peran CloudTrail untuk menggunakan CloudWatch Log untuk pemantauan

Bagian ini menjelaskan kebijakan izin yang diperlukan untuk CloudTrail peran untuk mengirim peristiwa log ke CloudWatch Log. Anda dapat melampirkan dokumen kebijakan ke peran saat mengonfigurasi CloudTrail untuk mengirim peristiwa, seperti yang dijelaskan dalamMengirim acara ke CloudWatch Log. Anda juga dapat membuat peran menggunakanIAM. Untuk informasi selengkapnya, lihat Membuat peran untuk mendelegasikan izin ke AWS layanan atau Membuat IAM peran ()AWS CLI.

Contoh dokumen kebijakan berikut berisi izin yang diperlukan untuk membuat aliran CloudWatch log di grup log yang Anda tentukan dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut di Wilayah AS Timur (Ohio). (Ini adalah kebijakan default untuk IAM peran defaultCloudTrail_CloudWatchLogs_Role.)

catatan

Pencegahan wakil yang bingung tidak berlaku untuk kebijakan peran untuk pemantauan CloudWatch Log. Kebijakan peran tidak mendukung penggunaan aws:SourceArn danaws:SourceAccount.

{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]
    }
  ]
}

Jika Anda membuat kebijakan yang mungkin digunakan untuk jejak organisasi juga, Anda harus memodifikasinya dari kebijakan default yang dibuat untuk peran tersebut. Misalnya, kebijakan berikut memberikan izin CloudTrail yang diperlukan untuk membuat aliran CloudWatch log Log di grup log yang Anda tentukan sebagai nilai log_group_name, dan untuk mengirimkan CloudTrail peristiwa ke aliran log tersebut untuk kedua jalur di AWS akun 11111111111111 dan untuk jejak organisasi yang dibuat di akun 11111111111111 yang diterapkan ke organisasi dengan ID AWS Organizations o-exampleorgid:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

Untuk informasi selengkapnya tentang jalur organisasi, lihatMembuat jejak untuk organisasi.