Documento de política função para CloudTrail usar CloudWatch Logs para monitoramento

Esta seção descreve a política de confiança necessária para que a função CloudTrail envie eventos de log para CloudWatch Logs. Você pode anexar um documento de política a uma função ao configurar CloudTrail para enviar eventos, conforme descrito em Enviar eventos ao CloudWatch Logs. Você também pode criar uma função usando IAM. Para obter mais informações, consulte Criação de uma função para um serviço da AWS (Console de Gerenciamento da AWS) ou Criação de uma função (CLI e API).

O documento de política de exemplo a seguir contém as permissões necessárias para criar um fluxo de logs do CloudWatch no grupo de logs especificado e para fornecer eventos do CloudTrail a esse fluxo de logs na região Leste dos EUA (Ohio). (Essa é a política padrão da função padrão do IAM CloudTrail_CloudWatchLogs_Role.)


{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]
    }
  ]
}

Se você criar uma política que também pode ser usada para trilhas da organização, será necessário modificá-la na política padrão criada para a função. Por exemplo, a política a seguir concede ao CloudTrail as permissões necessárias para criar um fluxo de logs do CloudWatch Logs no grupo de logs especificado como o valor de log_group_nameO CloudTrail e o fornecem eventos do 111111111111 a esse fluxo de logs para trilhas na conta da AWS 111111111111 e para trilhas da organização criadas na conta da AWS Organizations que são aplicadas à organização do com o ID de o-exampleorgid:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",             
                "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

Para obter mais informações sobre trilhas da organização, consulte Criar uma trilha para uma organização.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

CloudWatch Denominação do grupo de log e do fluxo de log para CloudTrail

Recebimento de arquivos de log do CloudTrail de várias contas