本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 CloudWatch 記錄進行監視 CloudTrail 的角色原則文件
本節說明將記錄事件傳送至 CloudWatch 記錄檔之 CloudTrail 角色所需的權限原則。當您設定傳送事件時,您可以將原則文件附加 CloudTrail 至角色,如中所述將事件傳送至 CloudWatch 記錄檔。您也可以使用 IAM 建立角色。如需詳細資訊,請參閱建立角色以委派許可給某個 AWS 服務或建立 IAM 角色 (AWS CLI)。
下列範例原則文件包含在您指定的記錄群組中建立 CloudWatch 記錄資料流所需的權限,以及將 CloudTrail 事件傳遞至美國東部 (俄亥俄) 區域的該記錄資料流所需的權限。(這是用於預設 IAM 角色 CloudTrail_CloudWatchLogs_Role 的預設政策。)
注意
混淆副預防不適用於 CloudWatch 記錄監視的角色策略。角色原則不支援使用aws:SourceArn和aws:SourceAccount。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] } ] }
如果您建立可能也會用於組織線索的政策,則您將需要從該角色原已建的預設政策中開始修改。例如,下列原則會授 CloudTrail 與在您指定為 log_group_name 值的 CloudWatch 記錄檔群組中建立記錄資料流所需的權限,以及針對帳戶 111111111111 中所套用至組織識別碼套用至組織的 111111111111 AWS 帳戶中建立的組織追蹤,將 CloudTrail事件傳遞至該記錄資料流: AWS Organizations
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*" ] } ] }
如需組織線索的詳細資訊,請參閱建立組織追蹤。
