Documento de política de roles CloudTrail para el uso de CloudWatch registros para la supervisión - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Documento de política de roles CloudTrail para el uso de CloudWatch registros para la supervisión

En esta sección se describe la política de permisos necesaria para que el CloudTrail rol envíe eventos de registro a CloudWatch Logs. Puede adjuntar un documento de política a un rol al configurarlo CloudTrail para enviar eventos, tal y como se describe enEnvío de eventos a CloudWatch registros. También puede crear un rol con IAM. Para obtener más información, consulte Crear un rol para delegar permisos a un rol de IAM Servicio de AWS o Crear un rol de IAM (AWS CLI).

El siguiente ejemplo de documento de política contiene los permisos necesarios para crear un flujo de CloudWatch registro en el grupo de registros que especifique y para enviar CloudTrail eventos a ese flujo de registro en la región EE.UU. Este (Ohio). (Esta es la política predeterminada para el rol de IAM predeterminado CloudTrail_CloudWatchLogs_Role).

nota

La política de funciones de supervisión de registros no se aplica a la política de funciones de supervisión de CloudWatch registros. La política de roles no admite el uso de aws:SourceArn yaws:SourceAccount.

{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]
    }
  ]
}

Si va a crear una política que también se puede utilizar para los registros de seguimiento de organización, deberá modificarla a partir la política predeterminada creada para el rol. Por ejemplo, la siguiente política otorga CloudTrail los permisos necesarios para crear un flujo de registro de CloudWatch registros en el grupo de registros que especifiques como valor de log_group_name, y para enviar CloudTrail eventos a ese flujo de registro tanto para los registros de la cuenta 1111 como para los registros de la organización creados en la AWS cuenta 1111 que se aplican a la AWS Organizations organización con el identificador de o-exampleorgid:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

Para obtener más información acerca de los registros de seguimiento de organización, consulte Creación de un registro de seguimiento para una organización.