Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Ekspor data log ke Amazon S3 menggunakan konsol
Dalam contoh berikut, Anda menggunakan CloudWatch konsol Amazon untuk mengekspor semua data dari grup CloudWatch log Amazon Logs yang diberi nama `my-log-group` ke bucket Amazon S3 bernama. `amzn-s3-demo-bucket`
Mengekspor data log ke bucket S3 yang dienkripsi oleh SSE-KMS didukung. Mengekspor ke bucket yang dienkripsi dengan DSSE-KMS tidak didukung.
Detail cara Anda mengatur ekspor tergantung pada apakah bucket Amazon S3 yang ingin Anda ekspor berada di akun yang sama dengan log Anda yang sedang diekspor, atau di akun lain.
**Topics**
+ [Ekspor akun yang sama (konsol)](#ExportSingleAccount)
+ [Ekspor lintas akun (konsol)](#ExportCrossAccount)
## Ekspor akun yang sama (konsol)
Jika bucket Amazon S3 berada di akun yang sama dengan log yang sedang diekspor, gunakan instruksi di bagian ini.
**Topics**
+ [Buat bucket Amazon S3 (konsol)](#CreateS3BucketConsole)
+ [Mengatur izin akses (konsol)](#CreateIAMUser-With-S3-Access)
+ [Setel izin pada bucket Amazon S3 (konsol)](#S3PermissionsConsole)
+ [(Opsional) Mengekspor ke bucket Amazon S3 tujuan yang dienkripsi dengan SSE-KMS (konsol)](#S3-Export-KMSEncrypted)
+ [Buat tugas ekspor (konsol)](#CreateExportTaskConsole)
### Buat bucket Amazon S3 (konsol)
Kami menyarankan Anda menggunakan bucket yang dibuat khusus untuk CloudWatch Log. Namun, jika Anda ingin menggunakan bucket yang sudah ada, Anda dapat melompat ke langkah 2.
**catatan**
Bucket Amazon S3 harus berada di Wilayah yang sama dengan data log yang akan diekspor. CloudWatch Log tidak mendukung ekspor data ke bucket Amazon S3 di Wilayah lain.
**Untuk membuat bucket Amazon S3**
1. Buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Jika perlu, ubah Wilayah. Dari bilah navigasi, pilih Wilayah tempat CloudWatch Log Anda berada.
1. Pilih **Create Bucket** (Buat Bucket).
1. Untuk **Bucket Name** (Nama Bucket), masukkan nama untuk bucket.
1. Untuk **Wilayah**, pilih Wilayah tempat data CloudWatch Log Anda berada.
1. Pilih **Buat**.
### Mengatur izin akses (konsol)
Untuk membuat tugas ekspor, Anda harus masuk dengan peran `AmazonS3ReadOnlyAccess` IAM dan dengan izin berikut:
+ `logs:CreateExportTask`
+ `logs:CancelExportTask`
+ `logs:DescribeExportTasks`
+ `logs:DescribeLogStreams`
+ `logs:DescribeLogGroups`
Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
+ Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
+ (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
### Setel izin pada bucket Amazon S3 (konsol)
Semua objek dan bucket Amazon S3 secara default bersifat privat. Hanya pemilik sumber daya, Akun AWS yang membuat ember, yang dapat mengakses ember dan objek apa pun yang dikandungnya. Namun, pemilik sumber daya dapat memilih untuk memberikan izin akses kepada sumber daya dan pengguna lain dengan menulis kebijakan akses.
Ketika Anda menetapkan kebijakan, sebaiknya Anda menyertakan string yang dihasilkan secara acak sebagai prefiks untuk bucket sehingga hanya pengaliran log yang dimaksud yang diekspor ke bucket tersebut.
**penting**
Untuk membuat ekspor ke bucket Amazon S3 lebih aman, kami sekarang meminta Anda untuk menentukan daftar akun sumber yang diizinkan untuk mengekspor data log ke bucket S3 Anda.
Dalam contoh berikut, daftar akun IDs di `aws:SourceAccount` kunci adalah akun tempat pengguna dapat mengekspor data log ke bucket Amazon S3 Anda. `aws:SourceArn`Kuncinya adalah sumber daya tempat tindakan diambil. Anda dapat membatasi ini ke grup log tertentu, atau menggunakan wildcard seperti yang ditunjukkan dalam contoh ini.
Kami menyarankan Anda juga menyertakan ID akun akun tempat bucket S3 dibuat, untuk memungkinkan ekspor dalam akun yang sama.
**Untuk mengatur izin bucket Amazon S3**
1. Di konsol Amazon S3, pilih bucket yang Anda buat.
1. Pilih **Permissions** (Izin), **Bucket policy** (Kebijakan bucket).
1. Di **Editor Kebijakan Bucket**, tambahkan kebijakan berikut. Ubah `amzn-s3-demo-bucket` nama bucket S3 Anda. Pastikan untuk menentukan titik akhir Wilayah yang benar, seperti`us-west-1`, untuk **Principal**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCloudWatchLogsGetBucketAcl",
"Action": "s3:GetBucketAcl",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Sid": "AllowCloudWatchLogsPutObject",
"Action": "s3:PutObject",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
}
]
}
```
------
1. Pilih **Save** (Simpan) untuk menetapkan kebijakan yang baru saja ditambahkan sebagai kebijakan akses di bucket Anda. Kebijakan ini memungkinkan CloudWatch Log untuk mengekspor data log ke bucket Amazon S3 Anda. Pemilik bucket memiliki izin penuh atas semua objek yang diekspor.
**Awas**
Jika bucket yang ada sudah memiliki satu atau beberapa kebijakan yang dilampirkan padanya, tambahkan pernyataan untuk akses CloudWatch Log ke kebijakan atau kebijakan tersebut. Sebaiknya Anda mengevaluasi hasil rangkaian izin untuk memastikan bahwa itu sesuai untuk pengguna yang akan mengakses bucket.
### (Opsional) Mengekspor ke bucket Amazon S3 tujuan yang dienkripsi dengan SSE-KMS (konsol)
Langkah ini diperlukan hanya jika Anda mengekspor ke bucket Amazon S3 yang menggunakan enkripsi sisi server. AWS KMS keys Enkripsi ini dikenal sebagai SSE-KMS.
**Untuk mengekspor ke bucket yang dienkripsi dengan SSE-KMS**
1. Buka AWS KMS konsol di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
1. Di bilah navigasi kiri, pilih **Kunci yang dikelola pelanggan**.
Pilih **Buat Kunci**.
1. Untuk **Tipe Kunci**, pilih **Simetris**.
1. **Untuk **penggunaan Kunci**, pilih **Enkripsi dan dekripsi** dan kemudian pilih Berikutnya.**
1. Di bawah **Tambahkan label**, masukkan alias untuk kunci dan secara opsional tambahkan deskripsi atau tag. Lalu pilih **Selanjutnya**.
1. **Di bawah **Administrator kunci**, pilih siapa yang dapat mengelola kunci ini, lalu pilih Berikutnya.**
1. Di bawah **Tentukan izin penggunaan kunci**, jangan buat perubahan dan pilih **Berikutnya**.
1. Tinjau pengaturan dan pilih **Selesai**.
1. Kembali ke halaman **kunci yang dikelola Pelanggan**, pilih nama kunci yang baru saja Anda buat.
1. Pilih tab **Kebijakan kunci** dan pilih **Beralih ke tampilan kebijakan**.
1. Di bagian **Kebijakan kunci**, pilih **Edit**.
1. Tambahkan pernyataan berikut ke daftar pernyataan kebijakan kunci. Ketika Anda melakukannya, ganti *Region* dengan Wilayah log Anda dan ganti *account-ARN* dengan ARN dari akun yang memiliki kunci KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CWL Service Principal usage",
"Effect": "Allow",
"Principal": {
"Service": "logs.Region.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "account-ARN"
},
"Action": [
"kms:GetKeyPolicy*",
"kms:PutKeyPolicy*",
"kms:DescribeKey*",
"kms:CreateAlias*",
"kms:ScheduleKeyDeletion*",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
1. Pilih **Simpan perubahan**.
1. Buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Temukan bucket yang Anda buat [Buat ember S3 (CLI)](S3ExportTasks.md#CreateS3Bucket) dan pilih nama bucket.
1. Pilih tab **Properti**. Kemudian, di bawah **Enkripsi Default**, pilih **Edit**.
1. **Di bawah **Enkripsi sisi server**, pilih Aktifkan.**
1. Di bawah **Tipe enkripsi** memilih **Kunci (SSE-KMS)AWS Key Management Service **.
1. Pilih **Pilih dari AWS KMS kunci Anda** dan temukan kunci yang Anda buat.
1. Untuk **kunci Bucket**, pilih **Aktifkan**.
1. Pilih **Simpan perubahan**.
### Buat tugas ekspor (konsol)
Dalam prosedur ini, Anda membuat tugas ekspor untuk mengekspor log dari grup log.
**Untuk mengekspor data ke Amazon S3 menggunakan konsol CloudWatch**
1. Masuk dengan izin yang memadai seperti yang didokumentasikan[Mengatur izin akses (konsol)](#CreateIAMUser-With-S3-Access).
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Pada panel navigasi, pilih **Grup log**.
1. Di layar **Log Groups** (Grup Log), pilih nama grup log.
1. Pilih **Actions** (Tindakan), **Export data to Amazon S3** (Ekspor data ke Amazon S3).
1. Di layar **Export data to Amazon S3** (Ekspor data ke Amazon S3), di **Define data export** (Tentukan ekspor data), atur rentang waktu untuk data yang akan diekspor menggunakan **From** (Dari) dan **To** (Sampai).
1. Jika grup log Anda memiliki beberapa pengaliran log, Anda dapat memberikan prefiks pengaliran log untuk membatasi data grup log ke pengaliran tertentu. Pilih **Advanced** (Lanjutan), lalu untuk **Stream prefix** (Prefiks pengaliran), masukkan prefiks pengaliran log.
1. Di bawah **bucket Pilih S3**, pilih akun yang terkait dengan bucket S3.
1. Untuk **nama bucket S3**, pilih bucket &S3;.
1. Untuk **S3 Bucket prefix** (Prefiks bucket S3), masukkan string yang dihasilkan secara acak yang Anda tentukan dalam kebijakan bucket.
1. Pilih **Export** (Ekspor) untuk mengekspor data log ke Amazon S3.
1. Untuk melihat status data log yang diekspor ke Amazon S3, pilih **Actions** (Tindakan), lalu **View all exports to Amazon S3** (Lihat semua ekspor ke Amazon S3).
## Ekspor lintas akun (konsol)
Jika bucket Amazon S3 berada di akun yang berbeda dari log yang sedang diekspor, gunakan petunjuk di bagian ini.
**Topics**
+ [Buat bucket Amazon S3 untuk ekspor lintas akun (konsol)](#CreateS3BucketConsole-crossaccount)
+ [Menyiapkan izin akses untuk ekspor lintas akun (konsol)](#CreateIAMUser-With-S3-Access-crossaccount)
+ [Tetapkan izin pada bucket S3 untuk ekspor lintas akun (konsol)](#S3PermissionsConsole-crossaccount)
+ [(Opsional) Mengekspor ke bucket Amazon S3 tujuan yang dienkripsi dengan SSE-KMS untuk ekspor lintas akun (konsol)](#S3-Export-KMSEncrypted-crossaccount)
+ [Buat tugas ekspor untuk ekspor lintas akun (konsol)](#CreateExportTaskConsole-crossaccount)
### Buat bucket Amazon S3 untuk ekspor lintas akun (konsol)
Kami menyarankan Anda menggunakan bucket yang dibuat khusus untuk CloudWatch Log. Namun, jika Anda ingin menggunakan bucket yang ada, Anda dapat melewati prosedur ini.
**catatan**
Bucket Amazon S3 harus berada di Wilayah yang sama dengan data log yang akan diekspor. CloudWatch Log tidak mendukung ekspor data ke bucket Amazon S3 di Wilayah lain.
**Untuk membuat bucket Amazon S3**
1. Buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Jika perlu, ubah Wilayah. Dari bilah navigasi, pilih Wilayah tempat CloudWatch Log Anda berada.
1. Pilih **Create Bucket** (Buat Bucket).
1. Untuk **Bucket Name** (Nama Bucket), masukkan nama untuk bucket.
1. Untuk **Wilayah**, pilih Wilayah tempat data CloudWatch Log Anda berada.
1. Pilih **Buat**.
### Menyiapkan izin akses untuk ekspor lintas akun (konsol)
Pertama, Anda harus membuat kebijakan IAM baru untuk mengaktifkan CloudWatch Log agar memiliki `s3:PutObject` tindakan untuk bucket Amazon S3 tujuan di akun tujuan.
Seiring dengan `s3:PutObject` tindakan, tindakan tambahan yang disertakan dalam kebijakan bergantung pada apakah bucket tujuan menggunakan AWS KMS enkripsi atau telah ACLs diaktifkan menggunakan setelan [Kepemilikan Objek S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html).
+ Jika menggunakan enkripsi KMS, tambahkan `kms:GenerateDataKey` dan `kms:Decrypt` tindakan untuk sumber daya utama
+ Jika ACLs diaktifkan di bucket, tambahkan `s3:PutObjectAcl` tindakan untuk sumber daya bucket
Ubah `amzn-s3-demo-bucket` nama bucket S3 tujuan Anda dalam kebijakan berikut.
**Untuk membuat kebijakan IAM untuk mengekspor log ke bucket Amazon S3**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi sebelah kiri, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Di bagian **Editor kebijakan**, pilih **JSON**.
1. Jika bucket tujuan tidak menggunakan AWS KMS enkripsi, tempelkan kebijakan berikut ke editor.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
Jika bucket tujuan menggunakan AWS KMS enkripsi, tempelkan kebijakan berikut ke editor.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
Jika ACLs diaktifkan pada bucket tujuan, tambahkan s3: PutObjectAcl ke s3: PutObject Action block pada kebijakan di atas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
1. Pilih **Berikutnya**.
1. Masukkan nama kebijakan. Anda akan menggunakan nama ini untuk melampirkan kebijakan ke peran IAM Anda.
1. Pilih **Buat kebijakan** untuk menyimpan kebijakan baru.
Untuk membuat tugas ekspor, Anda harus masuk dengan peran IAM yang memiliki kebijakan `AmazonS3ReadOnlyAccess` terkelola yang dilampirkan, kebijakan IAM yang dibuat di atas, dan juga dengan izin berikut:
+ `logs:CreateExportTask`
+ `logs:CancelExportTask`
+ `logs:DescribeExportTasks`
+ `logs:DescribeLogStreams`
+ `logs:DescribeLogGroups`
Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
+ Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
+ (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
### Tetapkan izin pada bucket S3 untuk ekspor lintas akun (konsol)
Secara default, semua bucket dan objek S3 bersifat pribadi. Hanya pemilik sumber daya, Akun AWS yang membuat ember, yang dapat mengakses ember dan objek apa pun yang dikandungnya. Namun, pemilik sumber daya dapat memilih untuk memberikan izin akses kepada sumber daya dan pengguna lain dengan menulis kebijakan akses.
Ketika Anda menetapkan kebijakan, sebaiknya Anda menyertakan string yang dihasilkan secara acak sebagai prefiks untuk bucket sehingga hanya pengaliran log yang dimaksud yang diekspor ke bucket tersebut.
**penting**
Untuk membuat ekspor ke bucket S3 lebih aman, kami sekarang meminta Anda untuk menentukan daftar akun sumber yang diizinkan untuk mengekspor data log ke bucket S3 Anda.
Dalam contoh berikut, daftar akun IDs dalam `aws:SourceAccount` kunci akan menjadi akun dari mana pengguna dapat mengekspor data log ke bucket S3 Anda. `aws:SourceArn`Kuncinya adalah sumber daya tempat tindakan diambil. Anda dapat membatasi ini ke grup log tertentu, atau menggunakan wildcard seperti yang ditunjukkan dalam contoh ini.
Kami menyarankan Anda juga menyertakan ID akun akun tempat bucket S3 dibuat, untuk memungkinkan ekspor dalam akun yang sama.
**Untuk mengatur izin bucket Amazon S3**
1. Di konsol Amazon S3, pilih bucket yang Anda buat.
1. Pilih **Permissions** (Izin), **Bucket policy** (Kebijakan bucket).
1. Di **Editor Kebijakan Bucket**, tambahkan kebijakan berikut. Ubah `amzn-s3-demo-bucket` nama bucket S3 Anda. Pastikan untuk menentukan titik akhir Wilayah yang benar, seperti`us-east-1`, untuk **Principal**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "s3:GetBucketAcl",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Action": "s3:PutObject",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/role_name"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
1. Pilih **Save** (Simpan) untuk menetapkan kebijakan yang baru saja ditambahkan sebagai kebijakan akses di bucket Anda. Kebijakan ini memungkinkan CloudWatch Log untuk mengekspor data log ke bucket S3 Anda. Pemilik bucket memiliki izin penuh atas semua objek yang diekspor.
**Awas**
Jika bucket yang ada sudah memiliki satu atau beberapa kebijakan yang dilampirkan padanya, tambahkan pernyataan untuk akses CloudWatch Log ke kebijakan atau kebijakan tersebut. Sebaiknya Anda mengevaluasi hasil rangkaian izin untuk memastikan bahwa itu sesuai untuk pengguna yang akan mengakses bucket.
### (Opsional) Mengekspor ke bucket Amazon S3 tujuan yang dienkripsi dengan SSE-KMS untuk ekspor lintas akun (konsol)
Prosedur ini diperlukan hanya jika Anda mengekspor ke bucket S3 yang menggunakan enkripsi sisi server. AWS KMS keys Enkripsi ini dikenal sebagai SSE-KMS.
**Untuk mengekspor ke bucket yang dienkripsi dengan SSE-KMS**
1. Buka AWS KMS konsol di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
1. Di bilah navigasi kiri, pilih **Kunci yang dikelola pelanggan**.
Pilih **Buat Kunci**.
1. Untuk **Tipe Kunci**, pilih **Simetris**.
1. **Untuk **penggunaan Kunci**, pilih **Enkripsi dan dekripsi** dan kemudian pilih Berikutnya.**
1. Di bawah **Tambahkan label**, masukkan alias untuk kunci dan secara opsional tambahkan deskripsi atau tag. Lalu pilih **Selanjutnya**.
1. **Di bawah **Administrator kunci**, pilih siapa yang dapat mengelola kunci ini, lalu pilih Berikutnya.**
1. Di bawah **Tentukan izin penggunaan kunci**, jangan buat perubahan dan pilih **Berikutnya**.
1. Tinjau pengaturan dan pilih **Selesai**.
1. Kembali ke halaman **kunci yang dikelola Pelanggan**, pilih nama kunci yang baru saja Anda buat.
1. Pilih tab **Kebijakan kunci** dan pilih **Beralih ke tampilan kebijakan**.
1. Di bagian **Kebijakan kunci**, pilih **Edit**.
1. Tambahkan pernyataan berikut ke daftar pernyataan kebijakan kunci. Ketika Anda melakukannya, ganti *us-east-1* dengan Wilayah log Anda, *account-ARN* dengan ARN akun yang memiliki kunci KMS, dengan nomor akun yang memiliki kunci KMS, *123456789012* dengan ID kms-key dan *key\$1id* *role\$1name* dengan peran yang digunakan untuk membuat tugas ekspor.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CWL Service Principal usage",
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "account-ARN"
},
"Action": [
"kms:GetKeyPolicy*",
"kms:PutKeyPolicy*",
"kms:DescribeKey*",
"kms:CreateAlias*",
"kms:ScheduleKeyDeletion*",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM Role Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/role_name"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
1. Pilih **Simpan perubahan**.
1. Buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Temukan bucket yang Anda buat [Buat ember S3 (CLI)](S3ExportTasks.md#CreateS3Bucket) dan pilih nama bucket.
1. Pilih tab **Properti**. Kemudian, di bawah **Enkripsi Default**, pilih **Edit**.
1. **Di bawah **Enkripsi sisi server**, pilih Aktifkan.**
1. Di bawah **Tipe enkripsi** memilih **Kunci (SSE-KMS)AWS Key Management Service **.
1. Pilih **Pilih dari AWS KMS kunci Anda** dan temukan kunci yang Anda buat.
1. Untuk **kunci Bucket**, pilih **Aktifkan**.
1. Pilih **Simpan perubahan**.
### Buat tugas ekspor untuk ekspor lintas akun (konsol)
Dalam prosedur ini, Anda membuat tugas ekspor untuk mengekspor log dari grup log.
**Untuk mengekspor data ke Amazon S3 menggunakan konsol CloudWatch**
1. Masuk dengan izin yang memadai seperti yang didokumentasikan[Mengatur izin akses (konsol)](#CreateIAMUser-With-S3-Access).
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Pada panel navigasi, pilih **Grup log**.
1. Di layar **Log Groups** (Grup Log), pilih nama grup log.
1. Pilih **Actions** (Tindakan), **Export data to Amazon S3** (Ekspor data ke Amazon S3).
1. Di layar **Export data to Amazon S3** (Ekspor data ke Amazon S3), di **Define data export** (Tentukan ekspor data), atur rentang waktu untuk data yang akan diekspor menggunakan **From** (Dari) dan **To** (Sampai).
1. Jika grup log Anda memiliki beberapa pengaliran log, Anda dapat memberikan prefiks pengaliran log untuk membatasi data grup log ke pengaliran tertentu. Pilih **Advanced** (Lanjutan), lalu untuk **Stream prefix** (Prefiks pengaliran), masukkan prefiks pengaliran log.
1. Di bawah **bucket Pilih S3**, pilih akun yang terkait dengan bucket S3.
1. Untuk **nama bucket S3**, pilih bucket S3.
1. Untuk **S3 Bucket prefix** (Prefiks bucket S3), masukkan string yang dihasilkan secara acak yang Anda tentukan dalam kebijakan bucket.
1. Pilih **Export** (Ekspor) untuk mengekspor data log ke Amazon S3.
1. Untuk melihat status data log yang diekspor ke Amazon S3, pilih **Actions** (Tindakan), lalu **View all exports to Amazon S3** (Lihat semua ekspor ke Amazon S3).