Autorisations de journalisation des accès vérifiées - AWS Accès vérifié

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations de journalisation des accès vérifiées

Le IAM principal utilisé pour configurer la destination de journalisation doit disposer de certaines autorisations pour que la journalisation fonctionne correctement. Les sections suivantes indiquent les autorisations requises pour chaque destination de journalisation.

Pour la livraison à CloudWatch Logs :

  • ec2:ModifyVerifiedAccessInstanceLoggingConfigurationsur l'instance Verified Access

  • logs:CreateLogDelivery,logs:DeleteLogDelivery, logs:GetLogDeliverylogs:ListLogDeliveries, et logs:UpdateLogDelivery sur toutes les ressources

  • logs:DescribeLogGroupslogs:DescribeResourcePolicies, et logs:PutResourcePolicy sur le groupe de journaux de destination

Pour la livraison vers Amazon S3 :

  • ec2:ModifyVerifiedAccessInstanceLoggingConfigurationsur l'instance Verified Access

  • logs:CreateLogDelivery,logs:DeleteLogDelivery, logs:GetLogDeliverylogs:ListLogDeliveries, et logs:UpdateLogDelivery sur toutes les ressources

  • s3:GetBucketPolicyet s3:PutBucketPolicy sur le compartiment de destination

Pour la livraison à Firehose :

  • ec2:ModifyVerifiedAccessInstanceLoggingConfigurationsur l'instance Verified Access

  • firehose:TagDeliveryStreamsur toutes les ressources

  • iam:CreateServiceLinkedRolesur toutes les ressources

  • logs:CreateLogDelivery,logs:DeleteLogDelivery, logs:GetLogDeliverylogs:ListLogDeliveries, et logs:UpdateLogDelivery sur toutes les ressources