讓 CloudTrail 能使用 CloudWatch Logs 進行監控的角色政策文件 - AWS CloudTrail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

讓 CloudTrail 能使用 CloudWatch Logs 進行監控的角色政策文件

本節說明 CloudTrail 角色要能向 CloudWatch Logs 傳送日誌事件所需的許可政策。當您設定 CloudTrail 傳送事件時,可以將政策文件連接至角色,如 傳送事件到 CloudWatch Logs 中的說明。您也可以使用 IAM 建立角色。如需更多詳細資訊,請參閱建立 AWS 服務 (AWS Management Console) 的角色建立角色 (CLI 和 API)

下列範例政策文件包含在您指定之日誌群組中建立 CloudWatch 日誌串流的必要許可,以及將 CloudTrail 事件傳遞到美國東部 (俄亥俄) 區域中該日誌串流的必要許可。(這是用於預設 IAM 角色 CloudTrail_CloudWatchLogs_Role 的預設政策。)

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] } ] }

如果您建立可能也會用於組織線索的政策,則您將需要從該角色原已建的預設政策中開始修改。例如,下列政策會授予 CloudTrail 必要的許可,以在您指定值為 log_group_name 的日誌群組中建立 CloudWatch Logs 日誌串流,並將 CloudTrail 事件交付到 AWS 帳戶 111111111111 中的線索和 111111111111 帳戶中建立的組織線索的日誌串流中,這些線索適用於 ID 為 o-exampleorgid 的 AWS Organizations 組織:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*" ] } ] }

如需組織線索的詳細資訊,請參閱建立組織追蹤