Documento de política de função para CloudTrail para usar CloudWatch Registros para monitoramento

Esta seção descreve a política de permissão a seguir CloudTrail função para enviar eventos de log para CloudWatch Registros. Você pode anexar um documento de política a uma função ao configurar CloudTrail para enviar eventos, conforme descrito emEnviando eventos para CloudWatch Registros. Você também pode criar uma função usando o IAM. Para obter mais informações, consulte Criar uma função para um serviço da AWS (AWS Management Console) ou Criar uma função (CLI e API).

O exemplo de documento de política a seguir contém as permissões necessárias para criar uma CloudWatch fluxo de log no grupo de log que você especifica e a ser entregue CloudTrail eventos para esse fluxo de log na região Leste dos EUA (Ohio). (Essa é a política padrão da função padrão do IAM CloudTrail_CloudWatchLogs_Role.)


{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]
    }
  ]
}

Se você criar uma política que também pode ser usada para trilhas da organização, será necessário modificá-la na política padrão criada para a função. Por exemplo, as seguintes concessões de políticas CloudTrail as permissões necessárias para criar um CloudWatch Registra o fluxo de registros no grupo de registros que você especifica como o valor denome_do_grupo_log, e para entregar CloudTraileventos para esse fluxo de log para ambas as trilhas noAWSconta 111111111111 e para trilhas organizacionais criadas na conta 111111111111 que são aplicadas aoAWS Organizationsorganização com o ID deo exemplo ou gid:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

Para obter mais informações sobre trilhas da organização, consulte Criar uma trilha para uma organização.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

CloudWatch nome do grupo de log e do fluxo de log para CloudTrail

Recebendo CloudTrail arquivos de log de várias contas