As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Documento de política função para CloudTrail usar CloudWatch Logs para monitoramento
Esta seção descreve a política de confiança necessária para que a função CloudTrail envie eventos de log para CloudWatch Logs. Você pode anexar um documento de política a uma função ao configurar CloudTrail para enviar eventos, conforme descrito em Enviar eventos ao CloudWatch Logs. Você também pode criar uma função usando IAM. Para obter mais informações, consulte Criação de uma função para um serviço da AWS (Console de Gerenciamento da AWS) ou Criação de uma função (CLI e API).
O documento de política de exemplo a seguir contém as permissões necessárias para
criar um fluxo de logs do CloudWatch no grupo de logs especificado e para fornecer
eventos do CloudTrail a esse fluxo de logs na região Leste dos EUA (Ohio). (Essa é
a política padrão da função padrão do IAM CloudTrail_CloudWatchLogs_Role
.)
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:
us-east-2
:accountID
:log-group:log_group_name
:log-stream:CloudTrail_log_stream_name_prefix
*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2
:accountID
:log-group:log_group_name
:log-stream:CloudTrail_log_stream_name_prefix
*" ] } ] }
Se você criar uma política que também pode ser usada para trilhas da organização,
será necessário modificá-la na política padrão criada para a função. Por exemplo,
a política a seguir concede ao CloudTrail as permissões necessárias para criar um
fluxo de logs do CloudWatch Logs no grupo de logs especificado como o valor de log_group_name
O CloudTrail e o fornecem eventos do 111111111111 a esse fluxo de logs para trilhas
na conta da AWS 111111111111 e para trilhas da organização criadas na conta da AWS
Organizations que são aplicadas à organização do com o ID de o-exampleorgid
:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/
log_group_name
:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name
:log-stream:o-exampleorgid
_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name
:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name
:log-stream:o-exampleorgid
_*" ] } ] }
Para obter mais informações sobre trilhas da organização, consulte Criar uma trilha para uma organização.