Esportazione di dati di log in Amazon S3 tramite la console - CloudWatch Registri Amazon
Esportazione nello stesso accountEsportazione in account diversi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esportazione di dati di log in Amazon S3 tramite la console

Negli esempi seguenti, utilizzi la CloudWatch console Amazon per esportare tutti i dati da un gruppo di log di Amazon CloudWatch Logs denominato in un my-log-group bucket Amazon S3 denominato. my-exported-logs

È supportata l'esportazione dei dati di log in bucket S3 crittografati da -. SSE KMS L'esportazione in bucket crittografati con DSSE - non è supportata. KMS

I dettagli su come configuri l'esportazione dipendono dal fatto che il bucket Amazon S3 in cui desideri esportare si trovi nello stesso account dei log che vengono esportati o in un account diverso.

Esportazione nello stesso account

Se il bucket Amazon S3 si trova nello stesso account dei log che vengono esportati, segui le istruzioni in questa sezione.

Fase 1: creazione di un bucket Amazon S3

Ti consigliamo di utilizzare un bucket creato appositamente per i log. CloudWatch Tuttavia, se intendi utilizzare un bucket esistente, puoi passare alla fase 2.

Nota

Il bucket S3 deve risiedere nella stessa regione dei dati di registro da esportare. CloudWatch I registri non supportano l'esportazione di dati in bucket S3 in una regione diversa.

Per creare un bucket S3

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Se necessario, modificare la regione . Dalla barra di navigazione, scegli la regione in cui risiedono CloudWatch i log.

  3. Scegli Crea bucket.

  4. In Bucket Name (Nome bucket), immettere il nome del bucket.

  5. Per Regione, seleziona la regione in cui risiedono i dati CloudWatch dei registri.

  6. Scegli Create (Crea) .

Fase 2: configurare le autorizzazioni di accesso

Per creare l'attività di esportazione nel passaggio 5, devi essere registrato con il AmazonS3ReadOnlyAccess IAM ruolo e con le seguenti autorizzazioni:

  • logs:CreateExportTask

  • logs:CancelExportTask

  • logs:DescribeExportTasks

  • logs:DescribeLogStreams

  • logs:DescribeLogGroups

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

Passaggio 3: Impostazione delle autorizzazioni su un bucket S3

Per impostazione predefinita, tutti i bucket e gli oggetti S3 sono privati. Solo il proprietario della risorsa, l' Account AWS che ha creato il bucket, può accedere al bucket e agli oggetti in esso contenuti. Tuttavia, il proprietario della risorsa può concedere le autorizzazioni di accesso ad altre risorse e ad altri utenti mediante una policy di accesso.

Quando si imposta la policy, consigliamo di includere una stringa generata in modo casuale come prefisso per il bucket, in modo che solo i flussi di log vengano esportati nel bucket.

Importante

Per rendere più sicure le esportazioni verso i bucket S3, ora ti chiediamo di specificare l'elenco degli account di origine autorizzati a esportare i dati di log nel tuo bucket S3.

Nell'esempio seguente, l'elenco di account IDs nella aws:SourceAccount chiave sarebbe costituito dagli account da cui un utente può esportare i dati di registro nel bucket S3. La chiave aws:SourceArn è la risorsa per la quale viene intrapresa l'azione. Puoi limitarla a un gruppo di log specifico o utilizzare un jolly come mostrato in questo esempio.

Ti consigliamo di includere anche l'ID dell'account in cui è stato creato il bucket S3 per consentire l'esportazione all'interno dello stesso account.

Impostazione delle autorizzazioni su un bucket Amazon S3

  1. Nella console Amazon S3, scegliere il bucket creato nella fase 1.

  2. Selezionare Permissions (Autorizzazioni), Add bucket policy (Aggiungi policy bucket).

  3. In Bucket Policy Editor (Editor della policy del bucket), aggiungi la seguente policy. Cambia my-exported-logs nel nome del bucket S3. Assicurati di specificare l'endpoint corretto della regione, come us-west-1, per Principale.

    {
    "Version": "2012-10-17",
    "Statement": [
      {
          "Action": "s3:GetBucketAcl",
          "Effect": "Allow",
          "Resource": "arn:aws:s3:::my-exported-logs",
          "Principal": { "Service": "logs.Region.amazonaws.com" },
          "Condition": {
            "StringEquals": {
                "aws:SourceAccount": [
                    "AccountId1",
                    "AccountId2",
                    ...
                ]
            },
            "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:Region:AccountId1:log-group:*",
                        "arn:aws:logs:Region:AccountId2:log-group:*",
                        ...
                     ]
            }
          }
      },
      {
          "Action": "s3:PutObject" ,
          "Effect": "Allow",
          "Resource": "arn:aws:s3:::my-exported-logs/*",
          "Principal": { "Service": "logs.Region.amazonaws.com" },
          "Condition": {
            "StringEquals": {
                "s3:x-amz-acl": "bucket-owner-full-control",
                "aws:SourceAccount": [
                    "AccountId1",
                    "AccountId2",
                    ...
                ]
            },
            "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:Region:AccountId1:log-group:*",
                        "arn:aws:logs:Region:AccountId2:log-group:*",
                        ...
                    ]
            }
          }
      }
    ]
}

  4. Seleziona Save (Salva) per impostare la policy appena aggiunta come la policy di accesso all'interno del bucket. Questa politica consente a CloudWatch Logs di esportare i dati di registro nel bucket S3. Il proprietario del bucket dispone di autorizzazioni complete su tutti gli oggetti esportati.

    avvertimento

    Se al bucket esistente sono già associate una o più politiche, aggiungi le istruzioni per CloudWatch Logs access a quella o più policy. Consigliamo di valutare il set di autorizzazioni risultante per verificare che siano adeguate agli utenti che accederanno al bucket.

(Facoltativo) Fase 4: Esportazione in un bucket crittografato con - SSE KMS

Questo passaggio è necessario solo se si esegue l'esportazione in un bucket S3 che utilizza la crittografia lato server con. AWS KMS keys Questa crittografia è nota come -. SSE KMS

Per esportare in un bucket crittografato con SSE - KMS

  1. Apri la AWS KMS console in https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nella barra di navigazione a sinistra, scegli Customer managed keys (Chiavi gestite dal cliente).

    Scegli Create Key (Crea chiave).

  4. Alla voce Key type (Tipo di chiave), scegliere Symmetric (Simmetrica).

  5. Per Key usage (Utilizzo della chiave), scegli Encrypt and decrypt (Crittografa e decrittografa), quindi scegli Next (Avanti).

  6. In Add labels (Aggiungi etichette), inserisci un alias per la chiave e, facoltativamente, aggiungi una descrizione o dei tag. Quindi scegli Successivo.

  7. In Key administrators (Amministratori delle chiavi), seleziona chi può amministrare questa chiave, quindi scegli Next (Avanti).

  8. In Define key usage permissions (Definisci le autorizzazioni per utilizzare la chiave), non apportare modifiche e scegli Next (Avanti).

  9. Esamina le impostazioni e scegli Finish (Fine).

  10. Torna alla pagina Customer managed keys (Chiavi gestite dal cliente) e scegli il nome della chiave che hai appena creato.

  11. Nella sezione Key policy (Policy chiave), scegli Switch to policy view (Passa alla visualizzazione della policy).

  12. Nella sezione Key policy (Policy chiave), scegli Edit (Modifica).

  13. Aggiungi la seguente istruzione all'elenco delle istruzioni della policy chiave. Quando lo fai, sostituisci Region con la regione dei tuoi registri e sostituisci account-ARN con ARN l'account che possiede la KMS chiave.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow CWL Service Principal usage",
            "Effect": "Allow",
            "Principal": {
                "Service": "logs.Region.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "account-ARN"
            },
            "Action": [
                "kms:GetKeyPolicy*",
                "kms:PutKeyPolicy*",
                "kms:DescribeKey*",
                "kms:CreateAlias*",
                "kms:ScheduleKeyDeletion*",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}

  14. Scegli Save changes (Salva modifiche).

  15. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  16. Cerca il bucket che hai creato in Fase 1: Creazione di un bucket S3 e scegli il nome del bucket.

  17. Scegliere la scheda Properties (Proprietà). Quindi, in Default Encryption (Crittografia predefinita), scegli Edit (Modifica).

  18. In Server-side Encryption (Crittografia lato server), scegli Enable (Abilita).

  19. In Tipo di crittografia, scegli AWS Key Management Service la chiave (SSE-KMS).

  20. Scegli tra AWS KMS le tue chiavi e trova la chiave che hai creato.

  21. Per Bucket key (Chiave bucket), scegli Enable (Abilita).

  22. Scegli Save changes (Salva modifiche).

Passaggio 5: Creazione di un'attività di esportazione

In questa fase, verrà creata l'attività di esportazione per esportare log da un gruppo di log.

Per esportare dati su Amazon S3 utilizzando la console CloudWatch

  1. Accedi con le autorizzazioni sufficienti come documentato in Fase 2: configurare le autorizzazioni di accesso.

  2. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  3. Nel pannello di navigazione, selezionare Log groups (Gruppi di log).

  4. Nella schermata Gruppi di log, scegliere il nome del gruppo di log.

  5. Scegli Actions (Operazioni), Export data to Amazon S3 (Esporta dati in Amazon S3.

  6. Nella schermata Export data to Amazon S3 (Esporta dati in Amazon S3), in Define data export (Definizione dell'esportazione dei dati), impostare l'intervallo di tempo per i dati da esportare in From (Da) e To (A).

  7. Se il gruppo di log dispone di più flussi di log, puoi fornire un prefisso del flusso di log per limitare i dati del gruppo di log a un flusso specifico. Scegliere Advanced (Avanzato) e immettere il prefisso del flusso di log in Stream prefix (Prefisso flusso).

  8. In Choose S3 bucket (Scegli bucket S3), seleziona l'account associato al bucket S3.

  9. In S3 bucket name (Nome bucket S3), seleziona un bucket S3.

  10. Per Prefisso bucket S3, immettere la stringa generata in modo casuale specificata nella policy del bucket.

  11. Seleziona Esporta per esportare i dati di log in Amazon S3.

  12. Per visualizzare lo stato dei dati di log esportati in Amazon S3, scegli Operazioni, quindi Visualizza tutte le esportazioni in Amazon S3.

Esportazione in account diversi

Se il bucket Amazon S3 si trova in un account diverso da quello dei log che vengono esportati, segui le istruzioni in questa sezione.

Fase 1: creazione di un bucket Amazon S3

Ti consigliamo di utilizzare un bucket creato appositamente per i CloudWatch log. Tuttavia, se intendi utilizzare un bucket esistente, puoi passare alla fase 2.

Nota

Il bucket S3 deve risiedere nella stessa regione dei dati di registro da esportare. CloudWatch I registri non supportano l'esportazione di dati in bucket S3 in una regione diversa.

Per creare un bucket S3

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Se necessario, modificare la regione . Dalla barra di navigazione, scegli la regione in cui risiedono CloudWatch i log.

  3. Scegli Crea bucket.

  4. In Bucket Name (Nome bucket), immettere il nome del bucket.

  5. Per Regione, seleziona la regione in cui risiedono i dati CloudWatch dei registri.

  6. Scegli Create (Crea) .

Fase 2: configurare le autorizzazioni di accesso

Innanzitutto, devi creare una nuova IAM policy per consentire a CloudWatch Logs di avere l's3:PutObjectautorizzazione per il bucket Amazon S3 di destinazione nell'account di destinazione.

La politica che crei dipende dal fatto che il bucket di destinazione utilizzi la crittografia. AWS KMS

Per creare una IAM politica per esportare i log in un bucket Amazon S3

  1. Apri la console all'IAMindirizzo. https://console.aws.amazon.com/iam/

  2. Nel riquadro di navigazione a sinistra, seleziona Policies (Policy).

  3. Scegli Create Policy (Crea policy).

  4. Nella sezione Policy editor, scegli JSON.

  5. Se il bucket di destinazione non utilizza AWS KMS la crittografia, incolla la seguente politica nell'editor.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::my-exported-logs/*"
        }
    ]
}

    Se il bucket di destinazione utilizza la AWS KMS crittografia, incolla la seguente politica nell'editor.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::my-exported-logs/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "ARN_OF_KMS_KEY"
    }
  ]
}

  6. Scegli Next (Successivo).

  7. Inserire un nome per la policy. Utilizzerai questo nome per associare la politica al tuo IAM ruolo.

  8. Quindi, per salvare la nuova policy, seleziona Crea policy.

Per creare l'attività di esportazione nel passaggio 5, devi essere registrato con il AmazonS3ReadOnlyAccess IAM ruolo. È inoltre necessario accedere con la IAM politica appena creata e disporre delle seguenti autorizzazioni:

  • logs:CreateExportTask

  • logs:CancelExportTask

  • logs:DescribeExportTasks

  • logs:DescribeLogStreams

  • logs:DescribeLogGroups

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

Passaggio 3: Impostazione delle autorizzazioni su un bucket S3

Per impostazione predefinita, tutti i bucket e gli oggetti S3 sono privati. Solo il proprietario della risorsa, l' Account AWS che ha creato il bucket, può accedere al bucket e agli oggetti in esso contenuti. Tuttavia, il proprietario della risorsa può concedere le autorizzazioni di accesso ad altre risorse e ad altri utenti mediante una policy di accesso.

Quando si imposta la policy, consigliamo di includere una stringa generata in modo casuale come prefisso per il bucket, in modo che solo i flussi di log vengano esportati nel bucket.

Importante

Per rendere più sicure le esportazioni verso i bucket S3, ora ti chiediamo di specificare l'elenco degli account di origine autorizzati a esportare i dati di log nel tuo bucket S3.

Nell'esempio seguente, l'elenco di account IDs nella aws:SourceAccount chiave sarebbe costituito dagli account da cui un utente può esportare i dati di registro nel bucket S3. La chiave aws:SourceArn è la risorsa per la quale viene intrapresa l'azione. Puoi limitarla a un gruppo di log specifico o utilizzare un jolly come mostrato in questo esempio.

Ti consigliamo di includere anche l'ID dell'account in cui è stato creato il bucket S3 per consentire l'esportazione all'interno dello stesso account.

Impostazione delle autorizzazioni su un bucket Amazon S3

  1. Nella console Amazon S3, scegliere il bucket creato nella fase 1.

  2. Selezionare Permissions (Autorizzazioni), Add bucket policy (Aggiungi policy bucket).

  3. In Bucket Policy Editor (Editor della policy del bucket), aggiungi la seguente policy. Cambia my-exported-logs nel nome del bucket S3. Assicurati di specificare l'endpoint corretto della regione, come us-west-1, per Principale.

    {
    "Version": "2012-10-17",
    "Statement": [
      {
          "Action": "s3:GetBucketAcl",
          "Effect": "Allow",
          "Resource": "arn:aws:s3:::my-exported-logs",
          "Principal": { "Service": "logs.Region.amazonaws.com" },
          "Condition": {
            "StringEquals": {
                "aws:SourceAccount": [
                    "AccountId1",
                    "AccountId2",
                    ...
                ]
            },
            "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:Region:AccountId1:log-group:*",
                        "arn:aws:logs:Region:AccountId2:log-group:*",
                        ...
                     ]
            }
          }
      },
      {
          "Action": "s3:PutObject" ,
          "Effect": "Allow",
          "Resource": "arn:aws:s3:::my-exported-logs/*",
          "Principal": { "Service": "logs.Region.amazonaws.com" },
          "Condition": {
            "StringEquals": {
                "s3:x-amz-acl": "bucket-owner-full-control",
                "aws:SourceAccount": [
                    "AccountId1",
                    "AccountId2",
                    ...
                ]
            },
            "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:Region:AccountId1:log-group:*",
                        "arn:aws:logs:Region:AccountId2:log-group:*",
                        ...
                    ]
            }
          }
      },
      {
          "Effect": "Allow",
          "Principal": {
            "AWS": "arn:aws:iam::create_export_task_caller_account:role/role_name"
          },
          "Action": "s3:PutObject",
          "Resource": "arn:aws:s3:::my-exported-logs/*",
          "Condition": {
            "StringEquals": {
                "s3:x-amz-acl": "bucket-owner-full-control"
            }
          }
       }
    ]
}

  4. Seleziona Save (Salva) per impostare la policy appena aggiunta come la policy di accesso all'interno del bucket. Questa politica consente a CloudWatch Logs di esportare i dati di registro nel bucket S3. Il proprietario del bucket dispone di autorizzazioni complete su tutti gli oggetti esportati.

    avvertimento

    Se al bucket esistente sono già associate una o più politiche, aggiungi le istruzioni per CloudWatch Logs access a quella o più policy. Consigliamo di valutare il set di autorizzazioni risultante per verificare che siano adeguate agli utenti che accederanno al bucket.

(Facoltativo) Fase 4: Esportazione in un bucket crittografato con - SSE KMS

Questo passaggio è necessario solo se si esegue l'esportazione in un bucket S3 che utilizza la crittografia lato server con. AWS KMS keys Questa crittografia è nota come -. SSE KMS

Per esportare in un bucket crittografato con SSE - KMS

  1. Apri la AWS KMS console in https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nella barra di navigazione a sinistra, scegli Customer managed keys (Chiavi gestite dal cliente).

    Scegli Create Key (Crea chiave).

  4. Alla voce Key type (Tipo di chiave), scegliere Symmetric (Simmetrica).

  5. Per Key usage (Utilizzo della chiave), scegli Encrypt and decrypt (Crittografa e decrittografa), quindi scegli Next (Avanti).

  6. In Add labels (Aggiungi etichette), inserisci un alias per la chiave e, facoltativamente, aggiungi una descrizione o dei tag. Quindi scegli Successivo.

  7. In Key administrators (Amministratori delle chiavi), seleziona chi può amministrare questa chiave, quindi scegli Next (Avanti).

  8. In Define key usage permissions (Definisci le autorizzazioni per utilizzare la chiave), non apportare modifiche e scegli Next (Avanti).

  9. Esamina le impostazioni e scegli Finish (Fine).

  10. Torna alla pagina Customer managed keys (Chiavi gestite dal cliente) e scegli il nome della chiave che hai appena creato.

  11. Nella sezione Key policy (Policy chiave), scegli Switch to policy view (Passa alla visualizzazione della policy).

  12. Nella sezione Key policy (Policy chiave), scegli Edit (Modifica).

  13. Aggiungi la seguente istruzione all'elenco delle istruzioni della policy chiave. Quando lo fai, sostituisci Region con la regione dei tuoi registri e sostituisci account-ARN con ARN l'account che possiede la KMS chiave.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow CWL Service Principal usage",
            "Effect": "Allow",
            "Principal": {
                "Service": "logs.Region.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Enable IAM User Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "account-ARN"
            },
            "Action": [
                "kms:GetKeyPolicy*",
                "kms:PutKeyPolicy*",
                "kms:DescribeKey*",
                "kms:CreateAlias*",
                "kms:ScheduleKeyDeletion*",
                "kms:Decrypt"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Enable IAM Role Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::create_export_task_caller_account:role/role_name"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "ARN_OF_KMS_KEY"
        }
    ]
}

  14. Scegli Save changes (Salva modifiche).

  15. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  16. Cerca il bucket che hai creato in Fase 1: Creazione di un bucket S3 e scegli il nome del bucket.

  17. Scegliere la scheda Properties (Proprietà). Quindi, in Default Encryption (Crittografia predefinita), scegli Edit (Modifica).

  18. In Server-side Encryption (Crittografia lato server), scegli Enable (Abilita).

  19. In Tipo di crittografia, scegli AWS Key Management Service la chiave (SSE-KMS).

  20. Scegli tra AWS KMS le tue chiavi e trova la chiave che hai creato.

  21. Per Bucket key (Chiave bucket), scegli Enable (Abilita).

  22. Scegli Save changes (Salva modifiche).

Passaggio 5: Creazione di un'attività di esportazione

In questa fase, verrà creata l'attività di esportazione per esportare log da un gruppo di log.

Per esportare dati su Amazon S3 utilizzando la console CloudWatch

  1. Accedi con le autorizzazioni sufficienti come documentato in Fase 2: configurare le autorizzazioni di accesso.

  2. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  3. Nel pannello di navigazione, selezionare Log groups (Gruppi di log).

  4. Nella schermata Gruppi di log, scegliere il nome del gruppo di log.

  5. Scegli Actions (Operazioni), Export data to Amazon S3 (Esporta dati in Amazon S3.

  6. Nella schermata Export data to Amazon S3 (Esporta dati in Amazon S3), in Define data export (Definizione dell'esportazione dei dati), impostare l'intervallo di tempo per i dati da esportare in From (Da) e To (A).

  7. Se il gruppo di log dispone di più flussi di log, puoi fornire un prefisso del flusso di log per limitare i dati del gruppo di log a un flusso specifico. Scegliere Advanced (Avanzato) e immettere il prefisso del flusso di log in Stream prefix (Prefisso flusso).

  8. In Choose S3 bucket (Scegli bucket S3), seleziona l'account associato al bucket S3.

  9. In S3 bucket name (Nome bucket S3), seleziona un bucket S3.

  10. Per Prefisso bucket S3, immettere la stringa generata in modo casuale specificata nella policy del bucket.

  11. Seleziona Esporta per esportare i dati di log in Amazon S3.

  12. Per visualizzare lo stato dei dati di log esportati in Amazon S3, scegli Operazioni, quindi Visualizza tutte le esportazioni in Amazon S3.