IAMBerechtigungen, die erforderlich sind, um eine Datenschutzrichtlinie zu erstellen oder mit ihr zu arbeiten - CloudWatch Amazon-Protokolle
Für Datenschutzrichtlinien auf Kontoebene sind Berechtigungen erforderlichErforderliche Berechtigungen für Datenschutzrichtlinien für eine einzelne ProtokollgruppeBeispiel-Datenschutzrichtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMBerechtigungen, die erforderlich sind, um eine Datenschutzrichtlinie zu erstellen oder mit ihr zu arbeiten

Um mit Datenschutzrichtlinien für Protokollgruppen arbeiten zu können, müssen Sie über bestimmte Berechtigungen verfügen, die in den folgenden Tabellen aufgeführt sind. Die Berechtigungen unterscheiden sich für kontoweite Datenschutzrichtlinien und für Datenschutzrichtlinien, die für eine einzelne Protokollgruppe gelten.

Für Datenschutzrichtlinien auf Kontoebene sind Berechtigungen erforderlich

Anmerkung

Wenn Sie einen dieser Vorgänge innerhalb einer Lambda-Funktion ausführen, müssen die Lambda-Ausführungsrolle und die Berechtigungsgrenze auch die folgenden Berechtigungen enthalten.

Operation IAMGenehmigung erforderlich Ressource

Erstellen einer Datenschutzrichtlinie ohne Audit-Ziele

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

Erstellen Sie eine Datenschutzrichtlinie mit CloudWatch Protokollen als Prüfungsziel

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

logs:CreateLogDelivery

*

logs:PutResourcePolicy

*

logs:DescribeResourcePolicies

*

logs:DescribeLogGroups

*

Erstellen Sie eine Datenschutzrichtlinie mit Firehose als Auditziel

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

logs:CreateLogDelivery

*

firehose:TagDeliveryStream

arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM

Erstellen einer Datenschutzrichtlinie mit Amazon S3 als Audit-Ziel

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

logs:CreateLogDelivery

*

s3:GetBucketPolicy

arn:aws:s3:::YOUR_BUCKET

s3:PutBucketPolicy

arn:aws:s3:::YOUR_BUCKET

Aufheben der Maskierung für Protokollereignisse in einer angegebenen Protokollgruppe

logs:Unmask

arn:aws:logs:::log-group:*

Anzeigen einer bestehenden Datenschutzrichtlinie

logs:GetDataProtectionPolicy

*

Löschen einer Datenschutzrichtlinie

logs:DeleteAccountPolicy

*

logs:DeleteDataProtectionPolicy

*

Wenn bereits Datenschutz-Auditprotokolle an ein Ziel gesendet werden, benötigen andere Richtlinien, die Protokolle an dasselbe Ziel senden, nur die Berechtigungen logs:PutDataProtectionPolicy und logs:CreateLogDelivery.

Erforderliche Berechtigungen für Datenschutzrichtlinien für eine einzelne Protokollgruppe

Anmerkung

Wenn Sie einen dieser Vorgänge innerhalb einer Lambda-Funktion ausführen, müssen die Lambda-Ausführungsrolle und die Berechtigungsgrenze auch die folgenden Berechtigungen enthalten.

Operation IAMGenehmigung erforderlich Ressource

Erstellen einer Datenschutzrichtlinie ohne Audit-Ziele

logs:PutDataProtectionPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

Erstellen Sie eine Datenschutzrichtlinie mit CloudWatch Protokollen als Prüfungsziel

logs:PutDataProtectionPolicy

logs:CreateLogDelivery

logs:PutResourcePolicy

logs:DescribeResourcePolicies

logs:DescribeLogGroups

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

*

*

*

*

Erstellen Sie eine Datenschutzrichtlinie mit Firehose als Auditziel

logs:PutDataProtectionPolicy

logs:CreateLogDelivery

firehose:TagDeliveryStream

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

*

arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM

Erstellen einer Datenschutzrichtlinie mit Amazon S3 als ein Audit-Ziel

logs:PutDataProtectionPolicy

logs:CreateLogDelivery

s3:GetBucketPolicy

s3:PutBucketPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

*

arn:aws:s3:::YOUR_BUCKET

arn:aws:s3:::YOUR_BUCKET

Entfernen von Maskierungen bei Protokollereignissen

logs:Unmask

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

Eine bestehende Datenschutzrichtlinie ansehen

logs:GetDataProtectionPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

Löschen einer Datenschutzrichtlinie

logs:DeleteDataProtectionPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

Wenn bereits Datenschutz-Auditprotokolle an ein Ziel gesendet werden, benötigen andere Richtlinien, die Protokolle an dasselbe Ziel senden, nur die Berechtigungen logs:PutDataProtectionPolicy und logs:CreateLogDelivery.

Beispiel-Datenschutzrichtlinie

Die folgende Beispielrichtlinie ermöglicht es einem Benutzer, Datenschutzrichtlinien zu erstellen, anzuzeigen und zu löschen, die Audit-Ergebnisse an alle drei Arten von Audit-Zielen senden können. Es erlaubt dem Benutzer nicht, unmaskierte Daten einzusehen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "YOUR_SID_1",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "YOUR_SID_2",
            "Effect": "Allow",
            "Action": [
                "logs:GetDataProtectionPolicy",
                "logs:DeleteDataProtectionPolicy",
                "logs:PutDataProtectionPolicy",
                "s3:PutBucketPolicy",
                "firehose:TagDeliveryStream",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
                "arn:aws:firehose:::deliverystream/YOUR_DELIVERY_STREAM",
                "arn:aws:s3:::YOUR_BUCKET",
                "arn:aws:logs:::log-group:YOUR_LOG_GROUP:*"
            ]
        }
    ]
}