Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
IAMizin yang diperlukan untuk membuat atau bekerja dengan kebijakan perlindungan data
Agar dapat bekerja dengan kebijakan perlindungan data untuk grup log, Anda harus memiliki izin tertentu seperti yang ditunjukkan pada tabel berikut. Izin berbeda untuk kebijakan perlindungan data di seluruh akun dan untuk kebijakan perlindungan data yang berlaku untuk satu grup log.
Izin yang diperlukan untuk kebijakan perlindungan data tingkat akun
catatan
Jika Anda melakukan salah satu operasi ini di dalam fungsi Lambda, peran eksekusi Lambda dan batas izin juga harus menyertakan izin berikut.
| Operasi | IAMizin yang dibutuhkan | Sumber Daya |
|---|---|---|
|
Membuat kebijakan perlindungan data tanpa tujuan audit |
|
|
|
|
|
|
|
Membuat kebijakan perlindungan data dengan CloudWatch Log sebagai tujuan audit |
|
|
|
|
| |
|
|
| |
|
| |
|
| |
|
| |
|
Membuat kebijakan perlindungan data dengan Firehose sebagai tujuan audit |
|
|
|
| |
|
| |
|
| |
|
Membuat kebijakan perlindungan data dengan Amazon S3 sebagai tujuan audit |
|
|
|
| |
|
| |
|
| |
|
| |
|
Buka kedok peristiwa log bertopeng dalam grup log tertentu |
|
|
|
Melihat kebijakan perlindungan data yang ada |
|
|
|
Menghapus kebijakan perlindungan data |
|
|
|
|
Jika ada log audit perlindungan data yang sudah dikirim ke tujuan, maka kebijakan lain yang mengirim log ke tujuan yang sama hanya memerlukan izin logs:PutDataProtectionPolicy dan logs:CreateLogDelivery izin.
Izin yang diperlukan untuk kebijakan perlindungan data untuk satu grup log
catatan
Jika Anda melakukan salah satu operasi ini di dalam fungsi Lambda, peran eksekusi Lambda dan batas izin juga harus menyertakan izin berikut.
| Operasi | IAMizin yang dibutuhkan | Sumber Daya |
|---|---|---|
|
Membuat kebijakan perlindungan data tanpa tujuan audit |
|
|
|
Membuat kebijakan perlindungan data dengan CloudWatch Log sebagai tujuan audit |
|
|
|
Membuat kebijakan perlindungan data dengan Firehose sebagai tujuan audit |
|
|
|
Membuat kebijakan perlindungan data dengan Amazon S3 sebagai tujuan audit |
|
|
|
Buka kedok peristiwa log bertopeng |
|
|
|
Melihat kebijakan perlindungan data yang ada |
|
|
|
Menghapus kebijakan perlindungan data |
|
|
Jika ada log audit perlindungan data yang sudah dikirim ke tujuan, maka kebijakan lain yang mengirim log ke tujuan yang sama hanya memerlukan izin logs:PutDataProtectionPolicy dan logs:CreateLogDelivery izin.
Contoh kebijakan perlindungan data
Contoh kebijakan berikut memungkinkan pengguna untuk membuat, melihat, dan menghapus kebijakan perlindungan data yang dapat mengirimkan temuan audit ke ketiga jenis tujuan audit. Itu tidak mengizinkan pengguna untuk melihat data yang dibuka kedoknya.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "YOUR_SID_1", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:PutResourcePolicy", "logs:DescribeLogGroups", "logs:DescribeResourcePolicies" ], "Resource": "*" }, { "Sid": "YOUR_SID_2", "Effect": "Allow", "Action": [ "logs:GetDataProtectionPolicy", "logs:DeleteDataProtectionPolicy", "logs:PutDataProtectionPolicy", "s3:PutBucketPolicy", "firehose:TagDeliveryStream", "s3:GetBucketPolicy" ], "Resource": [ "arn:aws:firehose:::deliverystream/YOUR_DELIVERY_STREAM", "arn:aws:s3:::YOUR_BUCKET", "arn:aws:logs:::log-group:YOUR_LOG_GROUP:*" ] } ] }
