必須具備 IAM 許可才能建立或使用資料保護政策 - Amazon CloudWatch Logs
帳戶層級資料保護政策所需的許可單一日誌群組之資料保護政策所需的許可資料保護政策範例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

必須具備 IAM 許可才能建立或使用資料保護政策

若要能夠使用日誌群組的資料保護政策,您必須具有下表所示的特定許可。帳戶層級的資料保護政策和套用至單一日誌群組的資料保護政策的許可有所不同。

帳戶層級資料保護政策所需的許可

注意

如果您要在 Lambda 函數內執行這些作業,Lambda 執行角色和許可界限也必須包含下列許可。

作業 需要 IAM 許可 資源

建立不具有稽核目的地的資料保護政策

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

建立以 CloudWatch Logs 為稽核目的地的資料保護政策

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

logs:CreateLogDelivery

*

logs:PutResourcePolicy

*

logs:DescribeResourcePolicies

*

logs:DescribeLogGroups

*

使用 Firehose 作為稽核目的地來建立資料保護政策

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

logs:CreateLogDelivery

*

firehose:TagDeliveryStream

arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM

建立以 Amazon S3 為稽核目的地的資料保護政策

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

logs:CreateLogDelivery

*

s3:GetBucketPolicy

arn:aws:s3:::YOUR_BUCKET

s3:PutBucketPolicy

arn:aws:s3:::YOUR_BUCKET

取消遮罩指定日誌群組中的遮罩日誌事件

logs:Unmask

arn:aws:logs:::log-group:*

檢視現有的資料保護政策

logs:GetDataProtectionPolicy

*

刪除資料保護政策

logs:DeleteAccountPolicy

*

logs:DeleteDataProtectionPolicy

*

如果有任何資料保護稽核日誌已傳送至目的地,則也將日誌傳送至相同目的地的其他策略僅需要 logs:PutDataProtectionPolicy 和 logs:CreateLogDelivery 許可。

單一日誌群組之資料保護政策所需的許可

注意

如果您要在 Lambda 函數內執行這些作業,Lambda 執行角色和許可界限也必須包含下列許可。

作業 需要 IAM 許可 資源

建立不具有稽核目的地的資料保護政策

logs:PutDataProtectionPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

建立以 CloudWatch Logs 為稽核目的地的資料保護政策

logs:PutDataProtectionPolicy

logs:CreateLogDelivery

logs:PutResourcePolicy

logs:DescribeResourcePolicies

logs:DescribeLogGroups

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

*

*

*

*

使用 Firehose 作為稽核目的地來建立資料保護政策

logs:PutDataProtectionPolicy

logs:CreateLogDelivery

firehose:TagDeliveryStream

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

*

arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM

建立以 Amazon S3 為稽核目的地的資料保護政策

logs:PutDataProtectionPolicy

logs:CreateLogDelivery

s3:GetBucketPolicy

s3:PutBucketPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

*

arn:aws:s3:::YOUR_BUCKET

arn:aws:s3:::YOUR_BUCKET

取消遮罩已遮罩的日誌事件

logs:Unmask

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

檢視現有的資料保護政策

logs:GetDataProtectionPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

刪除資料保護政策

logs:DeleteDataProtectionPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

如果有任何資料保護稽核日誌已傳送至目的地,則也將日誌傳送至相同目的地的其他策略僅需要 logs:PutDataProtectionPolicy 和 logs:CreateLogDelivery 許可。

資料保護政策範例

下列政策範例可讓使用者建立、檢視及刪除資料保護政策,這些政策可將稽核調查結果傳送至全部三種稽核目的地類型。它不允許使用者檢視未遮罩的資料。

JSON
 
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowLogDeliveryConfiguration",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowDataProtectionAndBucketConfiguration",
            "Effect": "Allow",
            "Action": [
                "logs:GetDataProtectionPolicy",
                "logs:DeleteDataProtectionPolicy",
                "logs:PutDataProtectionPolicy",
                "s3:PutBucketPolicy",
                "firehose:TagDeliveryStream",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
                "arn:aws:firehose:::deliverystream/delivery-stream-name",
                "arn:aws:s3:::amzn-s3-demo-destination-bucket",
                "arn:aws:logs:::log-group:log-group-name:*"
            ]
        }
    ]
}