Permissões de arquivo de log - AWS Acesso verificado

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões de arquivo de log

A entidade principal do IAM que está sendo usada para configurar o destino do log precisará ter certas permissões para que os logs funcionem corretamente. Abaixo, você pode ver as permissões necessárias para cada destino de log.

Para entrega ao CloudWatch Logs:

  • ec2:ModifyVerifiedAccessInstanceLoggingConfiguration na instância de Acesso Verificado

  • logs:CreateLogDelivery, logs:DeleteLogDelivery, logs:GetLogDelivery, logs:ListLogDeliveries e logs:UpdateLogDelivery em todos os recursos

  • logs:DescribeLogGroups, logs:DescribeResourcePolicies, e logs:PutResourcePolicy no grupo de logs de destino

Para entrega no Amazon S3:

  • ec2:ModifyVerifiedAccessInstanceLoggingConfiguration na instância de Acesso Verificado

  • logs:CreateLogDelivery, logs:DeleteLogDelivery, logs:GetLogDelivery, logs:ListLogDeliveries e logs:UpdateLogDelivery em todos os recursos

  • s3:GetBucketPolicy e s3:PutBucketPolicy no bucket de destino

Para entrega ao Firehose:

  • ec2:ModifyVerifiedAccessInstanceLoggingConfiguration na instância de Acesso Verificado

  • firehose:TagDeliveryStream Para todos os recursos

  • iam:CreateServiceLinkedRole Para todos os recursos

  • logs:CreateLogDelivery, logs:DeleteLogDelivery, logs:GetLogDelivery, logs:ListLogDeliveries e logs:UpdateLogDelivery em todos os recursos