As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exportação de dados de log para o Amazon S3 usando o console.
Nos exemplos a seguir, você usa o CloudWatch console da Amazon para exportar todos os dados de um grupo de CloudWatch logs do Amazon Logs chamado my-log-group para um bucket do Amazon S3 chamado. my-exported-logs
Há suporte para a exportação de dados de log para buckets do S3 criptografados por SSE-KMS. Não há suporte para a exportação de buckets do S3 criptografados com DSSE-KMS.
Os detalhes de como configurar a exportação dependem se o bucket do Amazon S3 para o qual você deseja exportar está na mesma conta que os logs que estão sendo exportados ou em uma conta diferente.
Exportação para a mesma conta
Se o bucket do Amazon S3 estiver na mesma conta dos logs que estão sendo exportados, use as instruções nesta seção.
Tópicos
Etapa 1: Crie um bucket do Amazon S3
Recomendamos que você use um bucket criado especificamente para o CloudWatch Logs. No entanto, se você desejar usar um bucket existente, vá para a etapa 2.
nota
O bucket do S3 deve residir na mesma região dos dados de log a serem exportados. CloudWatch O Logs não oferece suporte à exportação de dados para buckets do S3 em uma região diferente.
Para criar um bucket do S3
Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/
. -
Se necessário, altere a região da . Na barra de navegação, escolha a região em que seus CloudWatch registros residem.
-
Escolha Criar bucket.
-
Para Bucket Name (Nome do bucket), digite um nome para o bucket.
-
Em Região, selecione a região em que seus dados de CloudWatch registros residem.
-
Escolha Criar.
Etapa 2: configurar permissões de acesso
Para criar a tarefa de exportação na etapa 5, você precisará ter feio login com o perfil do IAM AmazonS3ReadOnlyAccess e com as seguintes permissões:
logs:CreateExportTasklogs:CancelExportTasklogs:DescribeExportTaskslogs:DescribeLogStreamslogs:DescribeLogGroups
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
-
Usuários e grupos em AWS IAM Identity Center:
Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário doAWS IAM Identity Center .
-
Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em Criar um perfil para um provedor de identidades de terceiros (federação) no Guia do usuário do IAM.
-
Usuários do IAM:
-
Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.
-
(Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.
-
Etapa 3: Definir permissões em um bucket do S3.
Por padrão, todos os buckets e objetos do S3 são privados. Somente o proprietário do recurso, o Conta da AWS que criou o bucket pode acessá-lo e quaisquer objetos que ele contenha. No entanto, o proprietário do recurso pode optar por conceder permissões de acesso a outros recursos e usuários ao criar uma política de acesso padrão.
Quando você define a política, é recomendável incluir uma string gerada aleatoriamente como o prefixo para o bucket, para que apenas os streams de log desejados sejam exportados para o bucket.
Importante
Para tornar as exportações para buckets S3 mais seguras, agora exigimos que você especifique a lista de contas de origem que têm permissão para exportar dados de log para seu bucket S3.
No exemplo a seguir, a lista de IDs de conta na chave da aws:SourceAccount seriam as contas das quais um usuário pode exportar dados de log para o bucket do S3. A chave aws:SourceArn seria o recurso para o qual a ação está sendo realizada. Você pode restringir isso a um grupo de logs específico ou usar um curinga, como mostrado neste exemplo.
Recomendamos que você inclua também o ID da conta na qual o bucket do S3 foi criado para permitir a exportação dentro da mesma conta.
Para definir permissões em um bucket do Amazon S3
-
No console do Amazon S3, escolha o bucket que você criou na etapa 1.
-
Escolha Permissions (Permissões), Bucket policy (Política de bucket).
-
No Bucket Policy Editor (Editor de política do bucket), adicione a política a seguir. Altere
my-exported-logspara o nome do bucket do S3. Certifique-se de especificar o endpoint correto da região comous-west-1para a Entidade principal.{ "Version": "2012-10-17", "Statement": [ { "Action": "s3:GetBucketAcl", "Effect": "Allow", "Resource": "arn:aws:s3:::my-exported-logs", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Condition": { "StringEquals": { "aws:SourceAccount": [ "AccountId1", "AccountId2", ... ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:Region:AccountId1:log-group:*", "arn:aws:logs:Region:AccountId2:log-group:*", ... ] } } }, { "Action": "s3:PutObject" , "Effect": "Allow", "Resource": "arn:aws:s3:::my-exported-logs/*", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": [ "AccountId1", "AccountId2", ... ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:Region:AccountId1:log-group:*", "arn:aws:logs:Region:AccountId2:log-group:*", ... ] } } } ] } -
Escolha Salvar para definir a política que você acabou de adicionar como política de acesso em seu bucket. Essa política permite que o CloudWatch Logs exporte dados de log para seu bucket do S3. O proprietário do bucket tem permissões completas sobre todos os objetos exportados.
Atenção
Se o bucket existente já tiver uma ou mais políticas anexadas, adicione as instruções de acesso de CloudWatch registros a essa política ou políticas. Recomendamos avaliar o conjunto resultante de permissões para ter certeza de que elas são apropriadas para os usuários que acessarão o bucket.
(Opcional) Etapa 4: Exportar para um bucket criptografado com o SSE-KMS
Essa etapa é necessária somente se você estiver exportando para um bucket do S3 que usa criptografia do lado do servidor com. AWS KMS keysEssa criptografia é conhecida como SSE-KMS.
Para exportar para um bucket criptografado com SSE-KMS
-
Abra o AWS KMS console em https://console.aws.amazon.com/kms
. -
Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
-
Na barra de navegação esquerdo, escolha Customer managed keys (Chaves gerenciadas pelo cliente).
Escolha Create Key (Criar chave).
-
Para Key type (Tipo de chave), escolha Symmetric (Simétrica).
-
Em Key usage (Uso da chave), escolha Encrypt and decrypt (Criptografar e descriptografar) e, em seguida, escolha Next (Avançar).
-
Em Add labels (Adicionar rótulos), insira um alias para a chave e, opcionalmente, adicione uma descrição ou tags. Em seguida, escolha Próximo.
-
Em Key administrators (Administradores de chaves), selecione quem pode administrar essa chave e escolha Next (Avançar).
-
Em Define key usage permissions (Definir permissões de uso da chave), não faça alterações e escolha Next (Avançar).
-
Revise as configurações e escolha Finish (Concluir).
-
De volta à página Customer managed keys (Chaves gerenciadas pelo cliente), escolha o nome da chave que você acabou de criar.
-
Na guia Key Policy (Política de chaves), selecione Switch to policy view (Alternar para visualização de política).
-
Na seção Key policy (Política de chaves), escolha Edit (Editar).
-
Adicione a declaração a seguir à lista de declarações de política de chaves. Ao fazer isso, substitua
Regiãopela Região dos seus registros e substitua oaccount-ARN (ARN da conta)pelo ARN da conta que possui a chave KMS.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow CWL Service Principal usage", "Effect": "Allow", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" }, { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "account-ARN" }, "Action": [ "kms:GetKeyPolicy*", "kms:PutKeyPolicy*", "kms:DescribeKey*", "kms:CreateAlias*", "kms:ScheduleKeyDeletion*", "kms:Decrypt" ], "Resource": "*" } ] } -
Escolha Salvar alterações.
Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/
. -
Encontre o bucket que você criou no Etapa 1: criar um bucket do S3 e escolha o nome do bucket.
-
Escolha a guia Properties (Propriedades). Em seguida, em Default encryption (Criptografia padrão), escolha Edit (Editar).
-
Em Server-side encryption (Criptografia no lado do servidor), escolha Enable (Habilitar).
-
Em Encryption type (Tipo de criptografia), selecione AWS Key Management Service key (SSE-KMS) (Chave do SSE-KMS)).
-
Escolha Escolher entre suas AWS KMS chaves e encontre a chave que você criou.
-
Para Bucket key (Chave do bucket), escolha Enable (Habilitar).
-
Escolha Salvar alterações.
Etapa 5: Criar uma tarefa de exportação
Nesta etapa, você criará a tarefa de exportação para exportar os logs de um grupo de logs.
Para exportar dados para o Amazon S3 usando o console CloudWatch
-
Faça login com permissões suficientes, conforme documentado em Etapa 2: configurar permissões de acesso.
Abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/
. -
No painel de navegação, escolha Grupos de logs.
-
Na tela Grupos de logs, escolha o nome do grupo de logs.
-
Escolha Actions (Ações), Export to Amazon S3 (Exportar para o Amazon S3).
-
Na tela Export data to Amazon S3 (Exportar dados para o Amazon S3), em Define data export (Definir exportação de dados), defina o período dos dados a serem exportados usando From (De) e To (Até).
-
Se o seu grupo de logs tiver vários streams de log, você poderá fornecer um prefixo de stream de logs para limitar os dados do grupo de logs para um stream específico. Escolha Advanced (Avançado) e, depois, em Stream prefix (Prefixo do stream), digite o prefixo do stream de logs.
-
Em Escolher bucket do S3, escolha a conta associada ao bucket do S3.
-
Em Nome do bucket do S3, escolha um bucket do S3.
-
Em Prefixo do bucket do S3, insira a string gerada aleatoriamente que você especificou na política do bucket.
-
Escolha Export (Exportar) para exportar seus dados de log para o Amazon S3.
-
Para visualizar o status dos dados de log exportados para o Amazon S3, escolha Actions (Ações), View all exports to Amazon S3 (Visualizar todas as exportações para o Amazon S3).
Exportação entre contas
Se o bucket do Amazon S3 estiver em uma conta diferente da conta dos logs que estão sendo exportados, use as instruções nesta seção.
Tópicos
Etapa 1: Crie um bucket do Amazon S3
Recomendamos que você use um bucket criado especificamente para o CloudWatch Logs. No entanto, se você desejar usar um bucket existente, vá para a etapa 2.
nota
O bucket do S3 deve residir na mesma região dos dados de log a serem exportados. CloudWatch O Logs não oferece suporte à exportação de dados para buckets do S3 em uma região diferente.
Para criar um bucket do S3
Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/
. -
Se necessário, altere a região da . Na barra de navegação, escolha a região em que seus CloudWatch registros residem.
-
Escolha Criar bucket.
-
Para Bucket Name (Nome do bucket), digite um nome para o bucket.
-
Em Região, selecione a região em que seus dados de CloudWatch registros residem.
-
Escolha Criar.
Etapa 2: configurar permissões de acesso
Primeiro, você deve criar uma nova política do IAM para permitir que CloudWatch os Logs tenham a s3:PutObject permissão para o bucket Amazon S3 de destino na conta de destino.
A política que você cria depende se o bucket de destino usa AWS KMS criptografia.
Para criar uma política do IAM para exportar registros para um bucket do Amazon S3
Abra o console IAM em https://console.aws.amazon.com/iam/
. No painel de navegação à esquerda, escolha Políticas.
Escolha Criar política.
Na seção Editor de políticas, escolha JSON.
Se o bucket de destino não usar AWS KMS criptografia, cole a política a seguir no editor.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-exported-logs/*" } ] }Se o bucket de destino usar AWS KMS criptografia, cole a política a seguir no editor.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-exported-logs/*" }, { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "ARN_OF_KMS_KEY" } ] }Escolha Próximo.
Insira um nome de política. Você usará esse nome para vincular a política ao seu perfil do IAM.
Escolha Criar política para salvar a nova política.
Para criar a tarefa de exportação na etapa 5, será necessário ter feito login com o perfil do IAM AmazonS3ReadOnlyAccess. Você deverá estar conectado com a política do IAM que acabou de criar e com as seguintes permissões:
logs:CreateExportTasklogs:CancelExportTasklogs:DescribeExportTaskslogs:DescribeLogStreamslogs:DescribeLogGroups
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
-
Usuários e grupos em AWS IAM Identity Center:
Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário doAWS IAM Identity Center .
-
Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em Criar um perfil para um provedor de identidades de terceiros (federação) no Guia do usuário do IAM.
-
Usuários do IAM:
-
Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.
-
(Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.
-
Etapa 3: Definir permissões em um bucket do S3.
Por padrão, todos os buckets e objetos do S3 são privados. Somente o proprietário do recurso, o Conta da AWS que criou o bucket pode acessá-lo e quaisquer objetos que ele contenha. No entanto, o proprietário do recurso pode optar por conceder permissões de acesso a outros recursos e usuários ao criar uma política de acesso padrão.
Quando você define a política, é recomendável incluir uma string gerada aleatoriamente como o prefixo para o bucket, para que apenas os streams de log desejados sejam exportados para o bucket.
Importante
Para tornar as exportações para buckets S3 mais seguras, agora exigimos que você especifique a lista de contas de origem que têm permissão para exportar dados de log para seu bucket S3.
No exemplo a seguir, a lista de IDs de conta na chave da aws:SourceAccount seriam as contas das quais um usuário pode exportar dados de log para o bucket do S3. A chave aws:SourceArn seria o recurso para o qual a ação está sendo realizada. Você pode restringir isso a um grupo de logs específico ou usar um curinga, como mostrado neste exemplo.
Recomendamos que você inclua também o ID da conta na qual o bucket do S3 foi criado para permitir a exportação dentro da mesma conta.
Para definir permissões em um bucket do Amazon S3
-
No console do Amazon S3, escolha o bucket que você criou na etapa 1.
-
Escolha Permissions (Permissões), Bucket policy (Política de bucket).
-
No Bucket Policy Editor (Editor de política do bucket), adicione a política a seguir. Altere
my-exported-logspara o nome do bucket do S3. Certifique-se de especificar o endpoint correto da região comous-west-1para a Entidade principal.{ "Version": "2012-10-17", "Statement": [ { "Action": "s3:GetBucketAcl", "Effect": "Allow", "Resource": "arn:aws:s3:::my-exported-logs", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Condition": { "StringEquals": { "aws:SourceAccount": [ "AccountId1", "AccountId2", ... ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:Region:AccountId1:log-group:*", "arn:aws:logs:Region:AccountId2:log-group:*", ... ] } } }, { "Action": "s3:PutObject" , "Effect": "Allow", "Resource": "arn:aws:s3:::my-exported-logs/*", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": [ "AccountId1", "AccountId2", ... ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:Region:AccountId1:log-group:*", "arn:aws:logs:Region:AccountId2:log-group:*", ... ] } } }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::create_export_task_caller_account:role/role_name" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-exported-logs/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] } -
Escolha Salvar para definir a política que você acabou de adicionar como política de acesso em seu bucket. Essa política permite que o CloudWatch Logs exporte dados de log para seu bucket do S3. O proprietário do bucket tem permissões completas sobre todos os objetos exportados.
Atenção
Se o bucket existente já tiver uma ou mais políticas anexadas, adicione as instruções de acesso de CloudWatch registros a essa política ou políticas. Recomendamos avaliar o conjunto resultante de permissões para ter certeza de que elas são apropriadas para os usuários que acessarão o bucket.
(Opcional) Etapa 4: Exportar para um bucket criptografado com o SSE-KMS
Essa etapa é necessária somente se você estiver exportando para um bucket do S3 que usa criptografia do lado do servidor com. AWS KMS keysEssa criptografia é conhecida como SSE-KMS.
Para exportar para um bucket criptografado com SSE-KMS
-
Abra o AWS KMS console em https://console.aws.amazon.com/kms
. -
Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
-
Na barra de navegação esquerdo, escolha Customer managed keys (Chaves gerenciadas pelo cliente).
Escolha Create Key (Criar chave).
-
Para Key type (Tipo de chave), escolha Symmetric (Simétrica).
-
Em Key usage (Uso da chave), escolha Encrypt and decrypt (Criptografar e descriptografar) e, em seguida, escolha Next (Avançar).
-
Em Add labels (Adicionar rótulos), insira um alias para a chave e, opcionalmente, adicione uma descrição ou tags. Em seguida, escolha Próximo.
-
Em Key administrators (Administradores de chaves), selecione quem pode administrar essa chave e escolha Next (Avançar).
-
Em Define key usage permissions (Definir permissões de uso da chave), não faça alterações e escolha Next (Avançar).
-
Revise as configurações e escolha Finish (Concluir).
-
De volta à página Customer managed keys (Chaves gerenciadas pelo cliente), escolha o nome da chave que você acabou de criar.
-
Na guia Key Policy (Política de chaves), selecione Switch to policy view (Alternar para visualização de política).
-
Na seção Key policy (Política de chaves), escolha Edit (Editar).
-
Adicione a declaração a seguir à lista de declarações de política de chaves. Ao fazer isso, substitua
Regiãopela Região dos seus registros e substitua oaccount-ARN (ARN da conta)pelo ARN da conta que possui a chave KMS.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow CWL Service Principal usage", "Effect": "Allow", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" }, { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "account-ARN" }, "Action": [ "kms:GetKeyPolicy*", "kms:PutKeyPolicy*", "kms:DescribeKey*", "kms:CreateAlias*", "kms:ScheduleKeyDeletion*", "kms:Decrypt" ], "Resource": "*" }, { "Sid": "Enable IAM Role Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::create_export_task_caller_account:role/role_name" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "ARN_OF_KMS_KEY" } ] } -
Escolha Salvar alterações.
Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/
. -
Encontre o bucket que você criou no Etapa 1: criar um bucket do S3 e escolha o nome do bucket.
-
Escolha a guia Properties (Propriedades). Em seguida, em Default encryption (Criptografia padrão), escolha Edit (Editar).
-
Em Server-side encryption (Criptografia no lado do servidor), escolha Enable (Habilitar).
-
Em Encryption type (Tipo de criptografia), selecione AWS Key Management Service key (SSE-KMS) (Chave do SSE-KMS)).
-
Escolha Escolher entre suas AWS KMS chaves e encontre a chave que você criou.
-
Para Bucket key (Chave do bucket), escolha Enable (Habilitar).
-
Escolha Salvar alterações.
Etapa 5: Criar uma tarefa de exportação
Nesta etapa, você criará a tarefa de exportação para exportar os logs de um grupo de logs.
Para exportar dados para o Amazon S3 usando o console CloudWatch
-
Faça login com permissões suficientes, conforme documentado em Etapa 2: configurar permissões de acesso.
Abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/
. -
No painel de navegação, escolha Grupos de logs.
-
Na tela Grupos de logs, escolha o nome do grupo de logs.
-
Escolha Actions (Ações), Export to Amazon S3 (Exportar para o Amazon S3).
-
Na tela Export data to Amazon S3 (Exportar dados para o Amazon S3), em Define data export (Definir exportação de dados), defina o período dos dados a serem exportados usando From (De) e To (Até).
-
Se o seu grupo de logs tiver vários streams de log, você poderá fornecer um prefixo de stream de logs para limitar os dados do grupo de logs para um stream específico. Escolha Advanced (Avançado) e, depois, em Stream prefix (Prefixo do stream), digite o prefixo do stream de logs.
-
Em Escolher bucket do S3, escolha a conta associada ao bucket do S3.
-
Em Nome do bucket do S3, escolha um bucket do S3.
-
Em Prefixo do bucket do S3, insira a string gerada aleatoriamente que você especificou na política do bucket.
-
Escolha Export (Exportar) para exportar seus dados de log para o Amazon S3.
-
Para visualizar o status dos dados de log exportados para o Amazon S3, escolha Actions (Ações), View all exports to Amazon S3 (Visualizar todas as exportações para o Amazon S3).
