驗證存取記錄權限 - AWS 驗證存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

驗證存取記錄權限

用來設定記錄目的地的IAM主體必須具有特定的權限,才能正常運作記錄。下列各節顯示每個記錄目的地所需的權限。

若要傳送至 CloudWatch 記錄檔:
  • ec2:ModifyVerifiedAccessInstanceLoggingConfiguration在已驗證存取實例上

  • logs:CreateLogDeliverylogs:DeleteLogDeliverylogs:GetLogDeliverylogs:ListLogDeliveries、和所logs:UpdateLogDelivery有資源

  • logs:DescribeLogGroupslogs:DescribeResourcePolicies、和logs:PutResourcePolicy在目的地記錄群組上

對於交付到 Amazon S3:
  • ec2:ModifyVerifiedAccessInstanceLoggingConfiguration在已驗證存取實例上

  • logs:CreateLogDeliverylogs:DeleteLogDeliverylogs:GetLogDeliverylogs:ListLogDeliveries、和所logs:UpdateLogDelivery有資源

  • s3:GetBucketPolicys3:PutBucketPolicy在目的地桶

運送至 Firehose:
  • ec2:ModifyVerifiedAccessInstanceLoggingConfiguration在已驗證存取實例上

  • firehose:TagDeliveryStream在所有資源

  • iam:CreateServiceLinkedRole在所有資源

  • logs:CreateLogDeliverylogs:DeleteLogDeliverylogs:GetLogDeliverylogs:ListLogDeliveries、和所logs:UpdateLogDelivery有資源