Documento sulla politica dei ruoli CloudTrail per l'utilizzo CloudWatch dei registri per il monitoraggio - AWS CloudTrail

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Documento sulla politica dei ruoli CloudTrail per l'utilizzo CloudWatch dei registri per il monitoraggio

Questa sezione descrive la politica di autorizzazione richiesta al CloudTrail ruolo per inviare eventi di registro a Logs. CloudWatch È possibile allegare un documento di policy a un ruolo quando si configura l'invio CloudTrail di eventi, come descritto in. Invio di eventi ai CloudWatch registri È inoltre possibile creare un ruolo utilizzandoIAM. Per ulteriori informazioni, vedere Creazione di un ruolo per delegare le autorizzazioni a un Servizio AWS o Creazione di un IAM ruolo ()AWS CLI.

Il seguente documento politico di esempio contiene le autorizzazioni necessarie per creare un flusso di CloudWatch log nel gruppo di log specificato e per inviare CloudTrail eventi a quel flusso di log nella regione Stati Uniti orientali (Ohio). (Questa è la politica predefinita per il IAM ruolo CloudTrail_CloudWatchLogs_Role predefinito).

Nota

La prevenzione confusa dei delegati non è applicabile alla politica dei ruoli per il monitoraggio dei CloudWatch registri. La politica relativa ai ruoli non supporta l'uso di aws:SourceArn andaws:SourceAccount.

{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]
    }
  ]
}

Se stai creando una policy che potrebbe essere utilizzata anche per i trail dell'organizzazione, dovrai modificarla a partire dalla policy predefinita creata per il ruolo. Ad esempio, la seguente politica concede CloudTrail le autorizzazioni necessarie per creare un flusso di log CloudWatch Logs nel gruppo di log specificato come valore di log_group_namee per inviare CloudTrail eventi a quel flusso di log per entrambi i percorsi nell' AWS account 1111 e per gli itinerari organizzativi creati nell'account 1111 che vengono applicati all'organizzazione con l' AWS Organizations ID di o-exampleorgid:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

Per ulteriori informazioni sui trail dell'organizzazione, consulta Creazione di un percorso per un'organizzazione.