Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Exportieren von Protokolldaten in Amazon S3 mit der Konsole
In den folgenden Beispielen verwenden Sie die CloudWatch Amazon-Konsole, um alle Daten aus einer Amazon CloudWatch Logs-Protokollgruppe mit dem Namen in einen Amazon S3-Bucket mit dem Namen my-log-group zu exportierenmy-exported-logs.
Das Exportieren von Protokolldaten, die mit SSE-KMS verschlüsselt sind, in S3-Buckets wird unterstützt. Der Export in Buckets, die mit DSSE-KMS verschlüsselt sind, wird nicht unterstützt.
Wie Sie den Export im Detail einrichten, hängt davon ab, ob sich der Amazon-S3-Bucket, in den Sie exportieren möchten, im selben Konto wie die zu exportierenden Protokolle befindet oder in einem anderen Konto.
Export im selben Konto
Wenn sich der Amazon-S3-Bucket im selben Konto befindet wie die zu exportierenden Protokolle, verwenden Sie die Anweisungen in diesem Abschnitt.
Themen
Schritt 1: Einen Amazon-S3-Bucket erstellen
Wir empfehlen Ihnen, einen Bucket zu verwenden, der speziell für CloudWatch Logs erstellt wurde. Wenn Sie jedoch einen vorhandenen Bucket verwenden möchten, gehen Sie direkt zu Schritt 2.
Anmerkung
Der S3-Bucket muss sich in derselben Region befinden wie die zu exportierenden Protokolldaten. CloudWatch Logs unterstützt den Export von Daten in S3-Buckets in einer anderen Region nicht.
So erstellen Sie einen S3-Bucket
Öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/
. -
Ändern Sie, falls erforderlich, die Region. Wählen Sie in der Navigationsleiste die Region aus, in der sich Ihre CloudWatch Logs befinden.
-
Wählen Sie Create Bucket (Bucket erstellen) aus.
-
Geben Sie unter Bucket-Name einen Namen für den Bucket ein.
-
Wählen Sie unter Region die Region aus, in der sich Ihre CloudWatch Logs-Daten befinden.
-
Wählen Sie Erstellen.
Schritt 2: Einrichten von Zugriffsberechtigungen
Um die Exportaufgabe in Schritt 5 erstellen zu können, müssen Sie mit der IAM-Rolle AmazonS3ReadOnlyAccess und den folgenden Berechtigungen angemeldet sein:
logs:CreateExportTasklogs:CancelExportTasklogs:DescribeExportTaskslogs:DescribeLogStreamslogs:DescribeLogGroups
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
-
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Verbund) im IAM-Benutzerhandbuch.
-
IAM-Benutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen IAM-Benutzer im IAM-Benutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.
-
Schritt 3: Festlegen von Berechtigungen für einen S3-Bucket
Standardmäßig werden alle S3-Buckets und -Objekte als privat eingestuft. Nur der Ressourceneigentümer, das AWS-Konto , in dem der Bucket erstellt wurde, kann auf den Bucket und alle darin enthaltenen Objekte zugreifen. Der Ressourcenbesitzer kann jedoch anderen Ressourcen und Benutzern Zugriffsberechtigungen gewähren, indem er eine Zugriffsrichtlinie schreibt.
Wenn Sie die Richtlinie festlegen, empfehlen wir Ihnen, eine zufällig generierte Zeichenfolge als Präfix für den Bucket einzufügen, so dass nur die beabsichtigten Protokoll-Streams in den Bucket exportiert werden.
Wichtig
Um Exporte in S3-Buckets sicherer zu machen, müssen Sie jetzt die Liste der Quellkonten angeben, die Protokolldaten in Ihren S3-Bucket exportieren dürfen.
Im folgenden Beispiel entspricht die Liste der Konto-IDs im aws:SourceAccount Schlüssel den Konten, von denen ein Benutzer Protokolldaten in Ihren S3-Bucket exportieren kann. Der Schlüssel aws:SourceArn ist die Ressource, für die die Aktion ausgeführt wird. Sie können dies auf eine bestimmte Protokollgruppe beschränken oder einen Platzhalter verwenden, wie in diesem Beispiel zu sehen.
Wir empfehlen, dass Sie auch die Konto-ID des Kontos angeben, in dem der S3-Bucket erstellt wurde, um den Export innerhalb desselben Kontos zu ermöglichen.
So legen Sie Berechtigungen für einen Amazon-S3-Bucket fest
-
Wählen Sie in der Amazon-S3-Konsole den Bucket aus, den Sie in Schritt 1 erstellt haben.
-
Klicken Sie auf Permissions (Berechtigungen), Bucket policy (Bucket-Richtlinie).
-
Fügen Sie im Bucket policy editor (Bucket-Richtlinieneditor) die folgende Richtlinie hinzu. Ändern Sie
my-exported-logsin den Namen Ihres S3-Bucket. Achten Sie auf die Angabe des korrekten Regionsendpunkts (beispielsweiseus-west-1) für Prinzipal.{ "Version": "2012-10-17", "Statement": [ { "Action": "s3:GetBucketAcl", "Effect": "Allow", "Resource": "arn:aws:s3:::my-exported-logs", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Condition": { "StringEquals": { "aws:SourceAccount": [ "AccountId1", "AccountId2", ... ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:Region:AccountId1:log-group:*", "arn:aws:logs:Region:AccountId2:log-group:*", ... ] } } }, { "Action": "s3:PutObject" , "Effect": "Allow", "Resource": "arn:aws:s3:::my-exported-logs/*", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": [ "AccountId1", "AccountId2", ... ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:Region:AccountId1:log-group:*", "arn:aws:logs:Region:AccountId2:log-group:*", ... ] } } } ] } -
Wählen Sie Save aus, um die Richtlinie, die Sie gerade hinzugefügt haben, als Zugriffsrichtlinie für den Bucket festzulegen. Diese Richtlinie ermöglicht CloudWatch Logs, Protokolldaten in Ihren S3-Bucket zu exportieren. Der Bucket-Eigentümer hat vollen Zugriff auf alle exportierten Objekte.
Warnung
Wenn mit dem vorhandenen Bucket bereits eine oder mehrere Richtlinien verknüpft sind, fügen Sie die Anweisungen für den Zugriff auf CloudWatch Logs zu dieser Richtlinie oder diesen Richtlinien hinzu. Sie sollten eine Beurteilung der daraus resultierenden Berechtigungen vornehmen, um sicherzustellen, dass sie für die Benutzer, die auf den Bucket zugreifen werden, geeignet sind.
(Optional) Schritt 4: Export in einen mit SSE-KMS verschlüsselten Bucket
Dieser Schritt ist nur erforderlich, wenn Sie in einen S3-Bucket exportieren, der serverseitige Verschlüsselung mit AWS KMS keys verwendet. Diese Verschlüsselung wird als SSE-KMS bezeichnet.
So exportieren Sie in einen mit SSE-KMS verschlüsselten Bucket
-
Öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms
. -
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
-
Klicken Sie in linken Navigationsleiste auf Customer managed keys (Vom Kunden verwaltete Schlüssel).
Klicken Sie auf Create key (Schlüssel erstellen).
-
Wählen Sie für Key type (Schlüsseltyp) Symmetric (Symmetrisch).
-
Wählen Sie für Key usage (Schlüsselverwendung) die Option Encrypt and decrypt (Verschlüsseln und Entschlüsseln) und dann Next (Weiter) aus.
-
Geben Sie unter Add Labels (Bezeichnungen hinzufügen) einen Alias für den Schlüssel ein und fügen Sie optional eine Beschreibung oder Tags hinzu. Wählen Sie anschließend Weiter.
-
Wählen Sie unter Key administrators (Schlüsseladministratoren) aus, wer diesen Schlüssel verwalten kann, und klicken Sie dann auf Next (Weiter).
-
Nehmen Sie unter Define key usage permissions (Schlüsselverwendungsberechtigungen definieren) keine Änderungen vor und wählen Sie Next (Weiter) aus.
-
Überprüfen Sie die Einstellungen und klicken Sie anschließend auf Finish (Fertig).
-
Wählen Sie auf der Seite Customer managed keys (Vom Kunden verwaltete Schlüssel) den Namen des Schlüssels aus, den Sie gerade erstellt haben.
-
Wählen Sie den Reiter Key policy (Schlüsselrichtlinie) und Switch to policy view (Zur Richtlinienansicht wechseln) aus.
-
Wählen Sie im Abschnitt Key policy (Schlüsselrichtlinie) die Option Edit (Bearbeiten) aus.
-
Fügen Sie der Anweisungsliste der Schlüsselrichtlinie die folgende Anweisung hinzu. Wenn Sie dies tun, ersetzen Sie
Regiondurch die Region Ihrer Protokolle undAccount-ARN(Konto-ARN) durch den ARN des Kontos, das den KMS-Schlüssel besitzt.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow CWL Service Principal usage", "Effect": "Allow", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" }, { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "account-ARN" }, "Action": [ "kms:GetKeyPolicy*", "kms:PutKeyPolicy*", "kms:DescribeKey*", "kms:CreateAlias*", "kms:ScheduleKeyDeletion*", "kms:Decrypt" ], "Resource": "*" } ] } -
Wählen Sie Änderungen speichern aus.
Öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/
. -
Wählen Sie den Bucket, den Sie in Schritt 1: Einen S3-Bucket erstellen erstellt haben, und wählen Sie den Bucket-Namen aus.
-
Wählen Sie die Registerkarte Eigenschaften aus. Wählen Sie dann unter Default encryption (Standard-Verschlüsselung) Edit (Bearbeiten) aus.
-
Unter den Optionen für Server-side encryption (Serverseitige Verschlüsselung) wählen Sie Enable (Aktivieren) aus.
-
Wählen Sie unter Encryption type (Verschlüsselungs-Typ) AWS Key Management Service -Schlüssel (SSE-KMS) aus.
-
Wählen Sie „Aus Ihren AWS KMS Schlüsseln auswählen“ und suchen Sie den Schlüssel, den Sie erstellt haben.
-
Wählen Sie unter Bucket Key (Bucket-Schlüssel) Enable (Aktivieren) aus.
-
Wählen Sie Änderungen speichern aus.
Schritt 5: Erstellen einer Exportaufgabe
In diesem Schritt erstellen Sie die Exportaufgabe zum Exportieren von Protokollen aus einer Protokollgruppe.
Um Daten mit der CloudWatch Konsole nach Amazon S3 zu exportieren
-
Melden Sie sich mit ausreichenden Berechtigungen an, wie unter Schritt 2: Einrichten von Zugriffsberechtigungen dokumentiert.
Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/
. -
Wählen Sie im Navigationsbereich Protokollgruppen aus.
-
Wählen Sie im Bildschirm Protokollgruppen den Namen der Protokollgruppe aus.
-
Wählen Sie für Actions (Aktionen) die Option Export data to Amazon S3 (Daten nach Amazon S3 exportieren) aus.
-
Legen Sie im Bildschirm Export data to Amazon S3 (Daten nach Amazon S3 exportieren) unter Define data export (Datenexport definieren) den Zeitraum für die zu exportierenden Daten mit From (Von) und To (Bis) fest.
-
Wenn Ihre Protokollgruppe über mehrere Protokoll-Streams verfügt, können Sie ein Protokoll-Stream-Präfix angeben, um die Protokollgruppendaten an einen bestimmten Stream zu beschränken. Wählen Sie Advanced (Erweitert) aus und geben Sie für Stream prefix (Stream-Präfix) das Protokoll-Stream-Präfix ein.
-
Wählen Sie unter Choose S3 bucket (S3-Bucket auswählen) das Konto für den S3-Bucket aus.
-
Wählen Sie für S3 bucket name (Name des S3-Bucket) einen S3-Bucket aus.
-
Geben Sie für S3-Bucket-Präfix die zufällig generierte Zeichenfolge ein, die Sie in der Bucket-Richtlinie angegeben haben.
-
Wählen Sie Export (Exportieren) aus, um Ihre Protokolldaten nach Amazon S3 zu exportieren.
-
Um den Status der Protokolldaten anzuzeigen, die Sie in Amazon S3 exportiert haben, wählen Sie Actions (Aktionen) und dann View all exports to Amazon S3 (Alle Exporte in Amazon S3 anzeigen) aus.
Kontenübergreifender Export
Wenn sich der Amazon-S3-Bucket in einem anderen Konto befindet als die zu exportierenden Protokolle, verwenden Sie die Anweisungen in diesem Abschnitt.
Themen
Schritt 1: Einen Amazon-S3-Bucket erstellen
Wir empfehlen, dass Sie einen Bucket verwenden, der speziell für CloudWatch Logs erstellt wurde. Wenn Sie jedoch einen vorhandenen Bucket verwenden möchten, gehen Sie direkt zu Schritt 2.
Anmerkung
Der S3-Bucket muss sich in derselben Region befinden wie die zu exportierenden Protokolldaten. CloudWatch Logs unterstützt den Export von Daten in S3-Buckets in einer anderen Region nicht.
So erstellen Sie einen S3-Bucket
Öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/
. -
Ändern Sie, falls erforderlich, die Region. Wählen Sie in der Navigationsleiste die Region aus, in der sich Ihre CloudWatch Logs befinden.
-
Wählen Sie Create Bucket (Bucket erstellen) aus.
-
Geben Sie unter Bucket-Name einen Namen für den Bucket ein.
-
Wählen Sie unter Region die Region aus, in der sich Ihre CloudWatch Logs-Daten befinden.
-
Wählen Sie Erstellen.
Schritt 2: Einrichten von Zugriffsberechtigungen
Zunächst müssen Sie eine neue IAM-Richtlinie erstellen, damit CloudWatch Logs die s3:PutObject Berechtigung für den Amazon S3 S3-Ziel-Bucket im Zielkonto erhält.
Welche Richtlinie Sie erstellen, hängt davon ab, ob der Ziel-Bucket AWS KMS Verschlüsselung verwendet.
So erstellen Sie eine IAM-Richtlinie für den Export von Protokollen in einen Amazon-S3-Bucket
Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).
Wählen Sie Richtlinie erstellen aus.
Wählen Sie im Abschnitt Richtlinien-Editor JSON aus.
Wenn der Ziel-Bucket keine AWS KMS Verschlüsselung verwendet, fügen Sie die folgende Richtlinie in den Editor ein.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-exported-logs/*" } ] }Wenn der Ziel-Bucket AWS KMS Verschlüsselung verwendet, fügen Sie die folgende Richtlinie in den Editor ein.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-exported-logs/*" }, { "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "ARN_OF_KMS_KEY" } ] }Wählen Sie Weiter aus.
Geben Sie den Namen einer Richtlinie ein. Sie verwenden diesen Namen, um die Richtlinie an Ihre IAM-Rolle anzuhängen.
Wählen Sie Richtlinie erstellen aus, um die neue Richtlinie zu speichern.
Um die Exportaufgabe in Schritt 5 erstellen zu können, müssen Sie mit der IAM-Rolle AmazonS3ReadOnlyAccess angemeldet sein. Sie müssen außerdem mit der IAM-Richtlinie angemeldet sein, die Sie gerade erstellt haben, sowie mit den folgenden Berechtigungen:
logs:CreateExportTasklogs:CancelExportTasklogs:DescribeExportTaskslogs:DescribeLogStreamslogs:DescribeLogGroups
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
-
Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
-
Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Verbund) im IAM-Benutzerhandbuch.
-
IAM-Benutzer:
-
Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen IAM-Benutzer im IAM-Benutzerhandbuch.
-
(Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.
-
Schritt 3: Festlegen von Berechtigungen für einen S3-Bucket
Standardmäßig werden alle S3-Buckets und -Objekte als privat eingestuft. Nur der Ressourceneigentümer, das AWS-Konto , in dem der Bucket erstellt wurde, kann auf den Bucket und alle darin enthaltenen Objekte zugreifen. Der Ressourcenbesitzer kann jedoch anderen Ressourcen und Benutzern Zugriffsberechtigungen gewähren, indem er eine Zugriffsrichtlinie schreibt.
Wenn Sie die Richtlinie festlegen, empfehlen wir Ihnen, eine zufällig generierte Zeichenfolge als Präfix für den Bucket einzufügen, so dass nur die beabsichtigten Protokoll-Streams in den Bucket exportiert werden.
Wichtig
Um Exporte in S3-Buckets sicherer zu machen, müssen Sie jetzt die Liste der Quellkonten angeben, die Protokolldaten in Ihren S3-Bucket exportieren dürfen.
Im folgenden Beispiel entspricht die Liste der Konto-IDs im aws:SourceAccount Schlüssel den Konten, von denen ein Benutzer Protokolldaten in Ihren S3-Bucket exportieren kann. Der Schlüssel aws:SourceArn ist die Ressource, für die die Aktion ausgeführt wird. Sie können dies auf eine bestimmte Protokollgruppe beschränken oder einen Platzhalter verwenden, wie in diesem Beispiel zu sehen.
Wir empfehlen, dass Sie auch die Konto-ID des Kontos angeben, in dem der S3-Bucket erstellt wurde, um den Export innerhalb desselben Kontos zu ermöglichen.
So legen Sie Berechtigungen für einen Amazon-S3-Bucket fest
-
Wählen Sie in der Amazon-S3-Konsole den Bucket aus, den Sie in Schritt 1 erstellt haben.
-
Klicken Sie auf Permissions (Berechtigungen), Bucket policy (Bucket-Richtlinie).
-
Fügen Sie im Bucket policy editor (Bucket-Richtlinieneditor) die folgende Richtlinie hinzu. Ändern Sie
my-exported-logsin den Namen Ihres S3-Bucket. Achten Sie auf die Angabe des korrekten Regionsendpunkts (beispielsweiseus-west-1) für Prinzipal.{ "Version": "2012-10-17", "Statement": [ { "Action": "s3:GetBucketAcl", "Effect": "Allow", "Resource": "arn:aws:s3:::my-exported-logs", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Condition": { "StringEquals": { "aws:SourceAccount": [ "AccountId1", "AccountId2", ... ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:Region:AccountId1:log-group:*", "arn:aws:logs:Region:AccountId2:log-group:*", ... ] } } }, { "Action": "s3:PutObject" , "Effect": "Allow", "Resource": "arn:aws:s3:::my-exported-logs/*", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": [ "AccountId1", "AccountId2", ... ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:Region:AccountId1:log-group:*", "arn:aws:logs:Region:AccountId2:log-group:*", ... ] } } }, { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::create_export_task_caller_account:role/role_name" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-exported-logs/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] } -
Wählen Sie Save aus, um die Richtlinie, die Sie gerade hinzugefügt haben, als Zugriffsrichtlinie für den Bucket festzulegen. Diese Richtlinie ermöglicht CloudWatch Logs, Protokolldaten in Ihren S3-Bucket zu exportieren. Der Bucket-Eigentümer hat vollen Zugriff auf alle exportierten Objekte.
Warnung
Wenn mit dem vorhandenen Bucket bereits eine oder mehrere Richtlinien verknüpft sind, fügen Sie die Anweisungen für den Zugriff auf CloudWatch Logs zu dieser Richtlinie oder diesen Richtlinien hinzu. Sie sollten eine Beurteilung der daraus resultierenden Berechtigungen vornehmen, um sicherzustellen, dass sie für die Benutzer, die auf den Bucket zugreifen werden, geeignet sind.
(Optional) Schritt 4: Export in einen mit SSE-KMS verschlüsselten Bucket
Dieser Schritt ist nur erforderlich, wenn Sie in einen S3-Bucket exportieren, der serverseitige Verschlüsselung mit AWS KMS keys verwendet. Diese Verschlüsselung wird als SSE-KMS bezeichnet.
So exportieren Sie in einen mit SSE-KMS verschlüsselten Bucket
-
Öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms
. -
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
-
Klicken Sie in linken Navigationsleiste auf Customer managed keys (Vom Kunden verwaltete Schlüssel).
Klicken Sie auf Create key (Schlüssel erstellen).
-
Wählen Sie für Key type (Schlüsseltyp) Symmetric (Symmetrisch).
-
Wählen Sie für Key usage (Schlüsselverwendung) die Option Encrypt and decrypt (Verschlüsseln und Entschlüsseln) und dann Next (Weiter) aus.
-
Geben Sie unter Add Labels (Bezeichnungen hinzufügen) einen Alias für den Schlüssel ein und fügen Sie optional eine Beschreibung oder Tags hinzu. Wählen Sie anschließend Weiter.
-
Wählen Sie unter Key administrators (Schlüsseladministratoren) aus, wer diesen Schlüssel verwalten kann, und klicken Sie dann auf Next (Weiter).
-
Nehmen Sie unter Define key usage permissions (Schlüsselverwendungsberechtigungen definieren) keine Änderungen vor und wählen Sie Next (Weiter) aus.
-
Überprüfen Sie die Einstellungen und klicken Sie anschließend auf Finish (Fertig).
-
Wählen Sie auf der Seite Customer managed keys (Vom Kunden verwaltete Schlüssel) den Namen des Schlüssels aus, den Sie gerade erstellt haben.
-
Wählen Sie den Reiter Key policy (Schlüsselrichtlinie) und Switch to policy view (Zur Richtlinienansicht wechseln) aus.
-
Wählen Sie im Abschnitt Key policy (Schlüsselrichtlinie) die Option Edit (Bearbeiten) aus.
-
Fügen Sie der Anweisungsliste der Schlüsselrichtlinie die folgende Anweisung hinzu. Wenn Sie dies tun, ersetzen Sie
Regiondurch die Region Ihrer Protokolle undAccount-ARN(Konto-ARN) durch den ARN des Kontos, das den KMS-Schlüssel besitzt.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow CWL Service Principal usage", "Effect": "Allow", "Principal": { "Service": "logs.Region.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" }, { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "account-ARN" }, "Action": [ "kms:GetKeyPolicy*", "kms:PutKeyPolicy*", "kms:DescribeKey*", "kms:CreateAlias*", "kms:ScheduleKeyDeletion*", "kms:Decrypt" ], "Resource": "*" }, { "Sid": "Enable IAM Role Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::create_export_task_caller_account:role/role_name" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "ARN_OF_KMS_KEY" } ] } -
Wählen Sie Änderungen speichern aus.
Öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/
. -
Wählen Sie den Bucket, den Sie in Schritt 1: Einen S3-Bucket erstellen erstellt haben, und wählen Sie den Bucket-Namen aus.
-
Wählen Sie die Registerkarte Eigenschaften aus. Wählen Sie dann unter Default encryption (Standard-Verschlüsselung) Edit (Bearbeiten) aus.
-
Unter den Optionen für Server-side encryption (Serverseitige Verschlüsselung) wählen Sie Enable (Aktivieren) aus.
-
Wählen Sie unter Encryption type (Verschlüsselungs-Typ) AWS Key Management Service -Schlüssel (SSE-KMS) aus.
-
Wählen Sie „Aus Ihren AWS KMS Schlüsseln auswählen“ und suchen Sie den Schlüssel, den Sie erstellt haben.
-
Wählen Sie unter Bucket Key (Bucket-Schlüssel) Enable (Aktivieren) aus.
-
Wählen Sie Änderungen speichern aus.
Schritt 5: Erstellen einer Exportaufgabe
In diesem Schritt erstellen Sie die Exportaufgabe zum Exportieren von Protokollen aus einer Protokollgruppe.
Um Daten mit der CloudWatch Konsole nach Amazon S3 zu exportieren
-
Melden Sie sich mit ausreichenden Berechtigungen an, wie unter Schritt 2: Einrichten von Zugriffsberechtigungen dokumentiert.
Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/
. -
Wählen Sie im Navigationsbereich Protokollgruppen aus.
-
Wählen Sie im Bildschirm Protokollgruppen den Namen der Protokollgruppe aus.
-
Wählen Sie für Actions (Aktionen) die Option Export data to Amazon S3 (Daten nach Amazon S3 exportieren) aus.
-
Legen Sie im Bildschirm Export data to Amazon S3 (Daten nach Amazon S3 exportieren) unter Define data export (Datenexport definieren) den Zeitraum für die zu exportierenden Daten mit From (Von) und To (Bis) fest.
-
Wenn Ihre Protokollgruppe über mehrere Protokoll-Streams verfügt, können Sie ein Protokoll-Stream-Präfix angeben, um die Protokollgruppendaten an einen bestimmten Stream zu beschränken. Wählen Sie Advanced (Erweitert) aus und geben Sie für Stream prefix (Stream-Präfix) das Protokoll-Stream-Präfix ein.
-
Wählen Sie unter Choose S3 bucket (S3-Bucket auswählen) das Konto für den S3-Bucket aus.
-
Wählen Sie für S3 bucket name (Name des S3-Bucket) einen S3-Bucket aus.
-
Geben Sie für S3-Bucket-Präfix die zufällig generierte Zeichenfolge ein, die Sie in der Bucket-Richtlinie angegeben haben.
-
Wählen Sie Export (Exportieren) aus, um Ihre Protokolldaten nach Amazon S3 zu exportieren.
-
Um den Status der Protokolldaten anzuzeigen, die Sie in Amazon S3 exportiert haben, wählen Sie Actions (Aktionen) und dann View all exports to Amazon S3 (Alle Exporte in Amazon S3 anzeigen) aus.
