Rollenrichtlinien-Dokument CloudTrail zur Verwendung von CloudWatch Logs zur Überwachung - AWS CloudTrail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Rollenrichtlinien-Dokument CloudTrail zur Verwendung von CloudWatch Logs zur Überwachung

In diesem Abschnitt wird die Berechtigungsrichtlinie beschrieben, die für die CloudTrail Rolle erforderlich ist, um Protokollereignisse an CloudWatch Logs zu senden. Sie können ein Richtliniendokument an eine Rolle anhängen, wenn Sie CloudTrail das Senden von Ereignissen konfigurieren, wie unter beschriebenEreignisse an CloudWatch Logs senden. Darüber hinaus können Sie auch eine Rolle mit IAM erstellen. Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an eine AWS-Service oder Erstellen einer IAM-Rolle ()AWS CLI.

Das folgende Beispielrichtliniendokument enthält die Berechtigungen, die erforderlich sind, um einen CloudWatch Protokollstream in der von Ihnen angegebenen Protokollgruppe zu erstellen und CloudTrail Ereignisse an diesen Protokollstream in der Region USA Ost (Ohio) zu übermitteln. (Dies ist die Standardrichtlinie für die Standard-IAM-Rolle CloudTrail_CloudWatchLogs_Role.)

{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]
    }
  ]
}

Wenn Sie eine Richtlinie erstellen, die möglicherweise auch für Organisations-Trails verwendet wird, müssen Sie diese aus der für die Rolle erstellten Standardrichtlinie heraus ändern. Die folgende Richtlinie gewährt beispielsweise die erforderlichen Berechtigungen, um in CloudTrail der Protokollgruppe, die Sie als Wert für angebenlog_group_name, einen CloudWatch Log-Log-Stream zu erstellen und CloudTrail Ereignisse für diesen Log-Stream sowohl für Trails im AWS Konto 111111111111 als auch für Organisationspfade, die im Konto 111111111111 erstellt wurden und auf die AWS Organizations Organisation mit der ID angewendet werdeno-exampleorgid:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

Weitere Informationen zu Organisations-Trails finden Sie unter Erstellen eines Trails für eine Organisation.