As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar logs do Amazon MQ for ActiveMQ
Para permitir que o Amazon MQ publique registros no CloudWatch Logs, você deve adicionar uma permissão ao seu usuário do Amazon MQ e também configurar uma política baseada em recursos para o Amazon MQ antes de criar ou reiniciar o agente.
nota
Quando você ativa os registros e publica mensagens do console web ActiveMQ, o conteúdo da mensagem é enviado e exibido CloudWatch nos registros.
A seguir, descrevemos as etapas para configurar CloudWatch registros para seus corretores ActiveMQ.
Tópicos
Entendendo a estrutura do registro em CloudWatch Logs
Você pode habilitar o registro geral e de auditoria ao configurar definições avançadas do agente na criação ou edição de um agente.
O registro geral ativa o nível de INFO
registro padrão (o DEBUG
registro não é suportado) e publica activemq.log
em um grupo de registros em sua CloudWatch conta. O grupo de logs tem um formato semelhante ao seguinte:
/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/general
O registro de auditoriaaudit.log
as publica em um grupo de registros em sua conta. CloudWatch O grupo de logs tem um formato semelhante ao seguinte:
/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/audit
Dependendo se você tem um agente de instância única ou um agente ativo/em espera, o Amazon MQ cria uma ou duas transmissões de log dentro de cada grupo de logs. Os fluxos de log têm um formato semelhante ao seguinte:
activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-1.log
activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-2.log
Os sufixos -1
e -2
denotam instâncias individuais do agente. Para obter mais informações, consulte Como trabalhar com grupos de registros e fluxos de registros no Guia do usuário do Amazon CloudWatch Logs.
Adicionar a permissão CreateLogGroup
ao seu usuário do Amazon MQ
Para permitir que o Amazon MQ crie um grupo de CloudWatch logs de registros, você deve garantir que o usuário que cria ou reinicializa o agente tenha a permissão. logs:CreateLogGroup
Importante
Se você não adicionar a permissão CreateLogGroup
ao seu usuário do Amazon MQ antes que ele crie ou reinicialize o agente, o Amazon MQ não criará o grupo de logs.
A política IAM baseada no exemplo a seguir concede permissão logs:CreateLogGroup
aos usuários aos quais essa política está anexada.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "logs:CreateLogGroup", "Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*" } ] }
nota
Aqui, o termo usuário se refere a Usuários e não a Usuários do Amazon MQ, que são criados quando um novo agente é configurado. Para obter mais informações sobre a configuração de usuários e IAM políticas, consulte a seção Visão geral do gerenciamento de identidades do Guia do IAM usuário.
Para obter mais informações, consulte CreateLogGroup
a Amazon CloudWatch Logs API Reference.
Configure uma política baseada em recursos para o Amazon MQ
Importante
Se você não configurar uma política baseada em recursos para o Amazon MQ, o agente não poderá publicar os registros no Logs. CloudWatch
Para permitir que o Amazon MQ publique registros em seu grupo de CloudWatch registros de registros, configure uma política baseada em recursos para dar ao Amazon MQ acesso às seguintes ações de registros: CloudWatch API
-
CreateLogStream
— Cria um fluxo de CloudWatch registros para o grupo de registros especificado. -
PutLogEvents
— Entrega eventos para o fluxo de registro de CloudWatch registros especificado.
A seguinte política baseada em recursos concede permissão para logs:CreateLogStream
e logs:PutLogEvents
para. AWS
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "mq.amazonaws.com" }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*" } ] }
Essa política baseada em recursos deve ser configurada usando o, AWS CLI conforme mostrado no comando a seguir. No exemplo, substitua
com suas próprias informações.us-east-1
aws --region
us-east-1
logs put-resource-policy --policy-name AmazonMQ-logs \ --policy-document "{\"Version\": \"2012-10-17\", \"Statement\":[{ \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"mq.amazonaws.com\" }, \"Action\": [\"logs:CreateLogStream\", \"logs:PutLogEvents\"], \"Resource\": \"arn:aws:logs:*:*:log-group:\/aws\/amazonmq\/*\" }]}"
nota
Como esse exemplo usa o /aws/amazonmq/
prefixo, você precisa configurar a política baseada em recursos somente uma vez por AWS conta, por região.
Prevenção contra o ataque do “substituto confuso” em todos os serviços
“Confused deputy” é um problema de segurança no qual uma entidade sem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. A personificação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.
Recomendamos usar as aws:SourceArn
chaves de contexto de condição aws:SourceAccount
global em sua política baseada em recursos do Amazon MQ para limitar o acesso aos CloudWatch registros a um ou mais corretores específicos.
nota
Se você utilizar ambas as chaves de contexto de condição global, o valor aws:SourceAccount
e a conta aws:SourceArn
no valor deverão utilizar o mesmo ID de conta quando utilizados na mesma instrução de política.
O exemplo a seguir demonstra uma política baseada em recursos que limita o acesso aos CloudWatch registros a um único agente do Amazon MQ.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "mq.amazonaws.com" }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012", "aws:SourceArn": "arn:aws:mq:us-east-2:123456789012:broker:MyBroker:b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9" } } } ] }
Você também pode configurar sua política baseada em recursos para limitar o acesso aos CloudWatch registros a todos os corretores em uma conta, conforme mostrado a seguir.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "mq.amazonaws.com" ] }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:mq:*:123456789012:broker:*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }
Para obter mais informações sobre o problema de segurança de representante confuso, consulte O problema do representante confuso, no Guia do usuário.