Documento de política de roles CloudTrail para el uso de CloudWatch registros para la supervisión - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Documento de política de roles CloudTrail para el uso de CloudWatch registros para la supervisión

En esta sección se describe la política de permisos necesaria para que el CloudTrail rol envíe eventos de registro a CloudWatch Logs. Puede adjuntar un documento de política a un rol al configurarlo CloudTrail para enviar eventos, tal y como se describe enEnvío de eventos a los Registros de Amazon CloudWatch. También puede crear un rol con IAM. Para obtener más información, consulte Crear un rol para delegar permisos a un Servicio de AWS o Crear un rol de IAM (AWS CLI).

El siguiente ejemplo de documento de política contiene los permisos necesarios para crear un CloudWatch flujo de registro en el grupo de registros que especifique y para enviar CloudTrail los eventos a ese flujo de registro en la región EE.UU. Este (Ohio). (Esta es la política predeterminada para el rol de IAM predeterminado CloudTrail_CloudWatchLogs_Role).

{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]
    }
  ]
}

Si va a crear una política que también se puede utilizar para los registros de seguimiento de organización, deberá modificarla a partir la política predeterminada creada para el rol. Por ejemplo, la siguiente política otorga CloudTrail los permisos necesarios para crear un flujo de registro de CloudWatch registros en el grupo de log_group_name registros que especifique como valor y para entregar CloudTrail eventos a ese flujo de registro tanto para las rutas de la AWS cuenta 1111 como para las rutas de la organización creadas en la cuenta 1111 que se aplican a la AWS Organizations organización con el ID deo-exampleorgid:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

Para obtener más información acerca de los registros de seguimiento de organización, consulte Creación de un registro de seguimiento para una organización.