Documento de política de função para CloudTrail para usar CloudWatch Registros para monitoramento - AWS CloudTrail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Documento de política de função para CloudTrail para usar CloudWatch Registros para monitoramento

Esta seção descreve a política de permissão a seguir CloudTrail função para enviar eventos de log para CloudWatch Registros. Você pode anexar um documento de política a uma função ao configurar CloudTrail para enviar eventos, conforme descrito emEnviando eventos para CloudWatch Registros. Você também pode criar uma função usando o IAM. Para obter mais informações, consulte Criar uma função para um serviço da AWS (AWS Management Console) ou Criar uma função (CLI e API).

O exemplo de documento de política a seguir contém as permissões necessárias para criar uma CloudWatch fluxo de log no grupo de log que você especifica e a ser entregue CloudTrail eventos para esse fluxo de log na região Leste dos EUA (Ohio). (Essa é a política padrão da função padrão do IAM CloudTrail_CloudWatchLogs_Role.)

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] } ] }

Se você criar uma política que também pode ser usada para trilhas da organização, será necessário modificá-la na política padrão criada para a função. Por exemplo, as seguintes concessões de políticas CloudTrail as permissões necessárias para criar um CloudWatch Registra o fluxo de registros no grupo de registros que você especifica como o valor denome_do_grupo_log, e para entregar CloudTraileventos para esse fluxo de log para ambas as trilhas noAWSconta 111111111111 e para trilhas organizacionais criadas na conta 111111111111 que são aplicadas aoAWS Organizationsorganização com o ID deo exemplo ou gid:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*" ] } ] }

Para obter mais informações sobre trilhas da organização, consulte Criar uma trilha para uma organização.