CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント - AWS CloudTrail

CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント

このセクションでは、CloudTrail ロールが CloudWatch Logs にログイベントを送信するために必要な許可ポリシーについて説明します。イベントを送信するように CloudTrail を設定するときは、ロールにポリシードキュメントをアタッチできます (「CloudWatch Logs へのイベントの送信」を参照)。IAM を使用してロールを作成することもできます。詳細については、「AWS サービス用のロールを作成する (AWS Management Console)」または「ロールの作成 (CLI および API)」を参照してください。

以下のポリシードキュメントの例には、指定したロググループで CloudWatch ログストリームを作成し、CloudTrail イベントを 米国東部 (オハイオ) リージョンのログストリームに配信するために必要なアクセス許可が含まれます。(これは、デフォルトの IAM ロール CloudTrail_CloudWatchLogs_Role に対するデフォルトのポリシーです。)

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] } ] }

組織の証跡にも使用される可能性があるポリシーを作成している場合は、そのロール用に作成されたデフォルトポリシーから変更する必要があります。例えば、以下のポリシーは、log_group_name の値として指定したロググループで CloudWatch Logs ログストリームを作成し、 AWS アカウント 111111111111、および o-exampleorgid の ID を持つ AWS Organizations 組織に適用される、アカウント 111111111111 で作成された組織証跡の両方の CloudTrail イベントを配信するアクセス許可を CloudTrail に付与します。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*" ] } ] }

組織の証跡の詳細については、「組織の証跡の作成」を参照してください。