Documento de política de funções CloudTrail para usar CloudWatch registros para monitoramento

Esta seção descreve a política de permissões necessária para que a CloudTrail função envie eventos de registro para o CloudWatch Logs. Você pode anexar um documento de política a uma função CloudTrail ao configurar o envio de eventos, conforme descrito emEnviando eventos para o CloudWatch Logs. Você também pode criar uma função usandoIAM. Para obter mais informações, consulte Criação de uma função para delegar permissões a uma AWS service (Serviço da AWS) ou Criação de uma IAM função (AWS CLI).

O exemplo de documento de política a seguir contém as permissões necessárias para criar um fluxo de CloudWatch registros no grupo de registros que você especifica e para entregar CloudTrail eventos a esse fluxo de registros na região Leste dos EUA (Ohio). (Essa é a política padrão para a IAM função padrãoCloudTrail_CloudWatchLogs_Role.)

nota

A prevenção delegada confusa não se aplica à política de funções de monitoramento de CloudWatch registros. A política de funções não suporta o uso de aws:SourceArn aws:SourceAccount e.


{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]
    }
  ]
}

Se você criar uma política que também pode ser usada para trilhas da organização, será necessário modificá-la na política padrão criada para a função. Por exemplo, a política a seguir concede CloudTrail as permissões necessárias para criar um stream de CloudWatch registros de registros no grupo de registros que você especifica como o valor de log_group_name, e para entregar CloudTrail eventos a esse fluxo de log para as trilhas na AWS conta 111111111111 e para as trilhas da organização criadas na conta 111111111111 que são aplicadas à organização com o ID de AWS Organizations o-exampleorgid:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

Para obter mais informações sobre trilhas da organização, consulte Criar uma trilha para uma organização.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

CloudWatch nome do grupo de registros e do fluxo de registros para CloudTrail

Recebendo arquivos de CloudTrail log de várias contas