Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Esportazione di dati di log in Amazon S3 tramite la console
Negli esempi seguenti, utilizzi la CloudWatch console Amazon per esportare tutti i dati da un gruppo di log di Amazon CloudWatch Logs denominato in un `my-log-group` bucket Amazon S3 denominato. `amzn-s3-demo-bucket`
L'esportazione dei dati di log in bucket S3 crittografati da SSE-KMS è supportata. L'esportazione in bucket crittografati con DSSE-KMS non è supportata.
I dettagli su come configuri l'esportazione dipendono dal fatto che il bucket Amazon S3 in cui desideri esportare si trovi nello stesso account dei log che vengono esportati o in un account diverso.
**Topics**
+ [Esportazione dello stesso account (console)](#ExportSingleAccount)
+ [Esportazione tra account (console)](#ExportCrossAccount)
## Esportazione dello stesso account (console)
Se il bucket Amazon S3 si trova nello stesso account dei log che vengono esportati, segui le istruzioni in questa sezione.
**Topics**
+ [Crea un bucket Amazon S3 (console)](#CreateS3BucketConsole)
+ [Configura le autorizzazioni di accesso (console)](#CreateIAMUser-With-S3-Access)
+ [Imposta le autorizzazioni su un bucket Amazon S3 (console)](#S3PermissionsConsole)
+ [(Facoltativo) Esportazione verso un bucket Amazon S3 di destinazione crittografato con SSE-KMS (console)](#S3-Export-KMSEncrypted)
+ [Crea un'attività di esportazione (console)](#CreateExportTaskConsole)
### Crea un bucket Amazon S3 (console)
Ti consigliamo di utilizzare un bucket creato appositamente per i log. CloudWatch Tuttavia, se intendi utilizzare un bucket esistente, puoi passare alla fase 2.
**Nota**
Il bucket Amazon S3 deve risiedere nella stessa Regione dei dati di registro da esportare. CloudWatch Logs non supporta l'esportazione di dati in bucket Amazon S3 in una regione diversa.
**Come creare un bucket Amazon S3.**
1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Se necessario, modificare la regione . Dalla barra di navigazione, scegli la regione in cui risiedono CloudWatch i log.
1. Scegli **Crea bucket**.
1. In **Bucket Name (Nome bucket)**, immettere il nome del bucket.
1. Per **Regione**, seleziona la regione in cui risiedono i dati CloudWatch dei registri.
1. Scegli **Create** (Crea).
### Configura le autorizzazioni di accesso (console)
Per creare l'attività di esportazione, devi accedere con il ruolo `AmazonS3ReadOnlyAccess` IAM e disporre delle seguenti autorizzazioni:
+ `logs:CreateExportTask`
+ `logs:CancelExportTask`
+ `logs:DescribeExportTasks`
+ `logs:DescribeLogStreams`
+ `logs:DescribeLogGroups`
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
### Imposta le autorizzazioni su un bucket Amazon S3 (console)
Per impostazione predefinita, tutti gli oggetti e i bucket Amazon S3 sono privati. Solo il proprietario della risorsa, colui Account AWS che ha creato il bucket, può accedere al bucket e a tutti gli oggetti in esso contenuti. Tuttavia, il proprietario della risorsa può concedere le autorizzazioni di accesso ad altre risorse e ad altri utenti mediante una policy di accesso.
Quando si imposta la policy, consigliamo di includere una stringa generata in modo casuale come prefisso per il bucket, in modo che solo i flussi di log vengano esportati nel bucket.
**Importante**
Per rendere più sicure le esportazioni verso i bucket Amazon S3, ora ti chiediamo di specificare l'elenco degli account di origine autorizzati a esportare i dati di log nel tuo bucket S3.
Nell'esempio seguente, l'elenco di account IDs nella `aws:SourceAccount` chiave sarebbe costituito dagli account da cui un utente può esportare i dati di registro nel bucket Amazon S3. La chiave `aws:SourceArn` è la risorsa per la quale viene intrapresa l'azione. Puoi limitarla a un gruppo di log specifico o utilizzare un jolly come mostrato in questo esempio.
Ti consigliamo di includere anche l'ID dell'account in cui è stato creato il bucket S3 per consentire l'esportazione all'interno dello stesso account.
**Impostazione delle autorizzazioni su un bucket Amazon S3**
1. Nella console Amazon S3, scegli il bucket che hai creato.
1. Selezionare **Permissions (Autorizzazioni)**, **Add bucket policy (Aggiungi policy bucket)**.
1. In **Bucket Policy Editor** (Editor della policy del bucket), aggiungi la seguente policy. Cambia `amzn-s3-demo-bucket` nel nome del bucket S3. Assicurati di specificare l'endpoint corretto della regione, come `us-west-1`, per **Principale**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCloudWatchLogsGetBucketAcl",
"Action": "s3:GetBucketAcl",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Sid": "AllowCloudWatchLogsPutObject",
"Action": "s3:PutObject",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
}
]
}
```
------
1. Seleziona **Save** (Salva) per impostare la policy appena aggiunta come la policy di accesso all'interno del bucket. Questa policy consente a CloudWatch Logs di esportare i dati di log nel tuo bucket Amazon S3. Il proprietario del bucket dispone di autorizzazioni complete su tutti gli oggetti esportati.
**avvertimento**
Se al bucket esistente sono già associate una o più politiche, aggiungi le istruzioni per CloudWatch Logs access a quella o alle politiche. Consigliamo di valutare il set di autorizzazioni risultante per verificare che siano adeguate agli utenti che accederanno al bucket.
### (Facoltativo) Esportazione verso un bucket Amazon S3 di destinazione crittografato con SSE-KMS (console)
Questo passaggio è necessario solo se si esegue l'esportazione in un bucket Amazon S3 che utilizza la crittografia lato server con. AWS KMS keys Questa crittografia è nota come SSE-KMS.
**Esportazione di un bucket crittografato con SSE-KMS**
1. [Apri la console in /kms. AWS KMS https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
1. Nella barra di navigazione a sinistra, scegli **Customer managed keys** (Chiavi gestite dal cliente).
Scegli **Create Key** (Crea chiave).
1. Alla voce **Key type (Tipo di chiave)**, scegliere **Symmetric (Simmetrica)**.
1. Per **Key usage** (Utilizzo della chiave), scegli **Encrypt and decrypt** (Crittografa e decrittografa), quindi scegli **Next** (Avanti).
1. In **Add labels** (Aggiungi etichette), inserisci un alias per la chiave e, facoltativamente, aggiungi una descrizione o dei tag. Quindi scegli **Successivo**.
1. In **Key administrators** (Amministratori delle chiavi), seleziona chi può amministrare questa chiave, quindi scegli **Next** (Avanti).
1. In **Define key usage permissions** (Definisci le autorizzazioni per utilizzare la chiave), non apportare modifiche e scegli **Next** (Avanti).
1. Esamina le impostazioni e scegli **Finish** (Fine).
1. Torna alla pagina **Customer managed keys** (Chiavi gestite dal cliente) e scegli il nome della chiave che hai appena creato.
1. Nella sezione **Key policy** (Policy chiave), scegli **Switch to policy view** (Passa alla visualizzazione della policy).
1. Nella sezione **Key policy** (Policy chiave), scegli **Edit** (Modifica).
1. Aggiungi la seguente istruzione all'elenco delle istruzioni della policy chiave. Quando lo fai, *Region* sostituiscilo con la regione dei tuoi log e sostituiscilo *account-ARN* con l'ARN dell'account che possiede la chiave KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CWL Service Principal usage",
"Effect": "Allow",
"Principal": {
"Service": "logs.Region.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "account-ARN"
},
"Action": [
"kms:GetKeyPolicy*",
"kms:PutKeyPolicy*",
"kms:DescribeKey*",
"kms:CreateAlias*",
"kms:ScheduleKeyDeletion*",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
1. Scegli **Save changes** (Salva modifiche).
1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Cerca il bucket che hai creato in [Creare un bucket S3 (CLI)](S3ExportTasks.md#CreateS3Bucket) e scegli il nome del bucket.
1. Scegliere la scheda **Properties (Proprietà)**. Quindi, in **Default Encryption** (Crittografia predefinita), scegli **Edit** (Modifica).
1. In **Server-side Encryption** (Crittografia lato server), scegli **Enable** (Abilita).
1. In **Tipo di crittografia**, scegli **Chiave AWS Key Management Service (SSE-KMS)**.
1. **Scegli tra AWS KMS le tue chiavi** e trova la chiave che hai creato.
1. Per **Bucket key** (Chiave bucket), scegli **Enable** (Abilita).
1. Scegli **Save changes** (Salva modifiche).
### Crea un'attività di esportazione (console)
In questa procedura, si crea l'attività di esportazione per esportare i log da un gruppo di log.
**Per esportare dati su Amazon S3 utilizzando la console CloudWatch**
1. Accedi con le autorizzazioni sufficienti come documentato in [Configura le autorizzazioni di accesso (console)](#CreateIAMUser-With-S3-Access).
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione, selezionare **Log groups (Gruppi di log)**.
1. Nella schermata **Gruppi di log**, scegliere il nome del gruppo di log.
1. Scegli **Actions (Operazioni)**, **Export data to Amazon S3 (Esporta dati in Amazon S3**.
1. Nella schermata **Export data to Amazon S3 (Esporta dati in Amazon S3)**, in **Define data export (Definizione dell'esportazione dei dati)**, impostare l'intervallo di tempo per i dati da esportare in **From (Da)** e **To (A)**.
1. Se il gruppo di log dispone di più flussi di log, puoi fornire un prefisso del flusso di log per limitare i dati del gruppo di log a un flusso specifico. Scegliere **Advanced (Avanzato)** e immettere il prefisso del flusso di log in **Stream prefix (Prefisso flusso)**.
1. In **Choose S3 bucket** (Scegli bucket S3), seleziona l'account associato al bucket S3.
1. In **S3 bucket name** (Nome bucket S3), seleziona un bucket &S3;.
1. Per **Prefisso bucket S3**, immettere la stringa generata in modo casuale specificata nella policy del bucket.
1. Seleziona **Esporta** per esportare i dati di log in Amazon S3.
1. Per visualizzare lo stato dei dati di log esportati in Amazon S3, scegli **Operazioni**, quindi **Visualizza tutte le esportazioni in Amazon S3**.
## Esportazione tra account (console)
Se il bucket Amazon S3 si trova in un account diverso da quello dei log che vengono esportati, segui le istruzioni in questa sezione.
**Topics**
+ [Crea un bucket Amazon S3 per l'esportazione tra account (console)](#CreateS3BucketConsole-crossaccount)
+ [Configura le autorizzazioni di accesso per l'esportazione tra account (console)](#CreateIAMUser-With-S3-Access-crossaccount)
+ [Imposta le autorizzazioni su un bucket S3 per l'esportazione tra account (console)](#S3PermissionsConsole-crossaccount)
+ [(Facoltativo) Esportazione verso un bucket Amazon S3 di destinazione crittografato con SSE-KMS per l'esportazione tra account (console)](#S3-Export-KMSEncrypted-crossaccount)
+ [Crea un'attività di esportazione per l'esportazione tra account diversi (console)](#CreateExportTaskConsole-crossaccount)
### Crea un bucket Amazon S3 per l'esportazione tra account (console)
Ti consigliamo di utilizzare un bucket creato appositamente per i log. CloudWatch Tuttavia, se desideri utilizzare un bucket esistente, puoi saltare questa procedura.
**Nota**
Il bucket Amazon S3 deve risiedere nella stessa Regione dei dati di registro da esportare. CloudWatch Logs non supporta l'esportazione di dati in bucket Amazon S3 in una regione diversa.
**Come creare un bucket Amazon S3.**
1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Se necessario, modificare la regione . Dalla barra di navigazione, scegli la regione in cui risiedono CloudWatch i log.
1. Scegli **Crea bucket**.
1. In **Bucket Name (Nome bucket)**, immettere il nome del bucket.
1. Per **Regione**, seleziona la regione in cui risiedono i dati CloudWatch dei registri.
1. Scegli **Create** (Crea).
### Configura le autorizzazioni di accesso per l'esportazione tra account (console)
Innanzitutto, devi creare una nuova policy IAM per consentire a CloudWatch Logs di avere l'`s3:PutObject`azione per il bucket Amazon S3 di destinazione nell'account di destinazione.
Oltre all'`s3:PutObject`azione, le azioni aggiuntive incluse nella policy dipendono dal fatto che il bucket di destinazione utilizzi la AWS KMS crittografia o sia stato ACLs abilitato utilizzando l'impostazione [S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) Object Ownership.
+ Se utilizzi la crittografia KMS, aggiungi `kms:Decrypt` le azioni `kms:GenerateDataKey` and per la risorsa chiave
+ Se ACLs sono abilitati sul bucket, aggiungi l'`s3:PutObjectAcl`azione per la risorsa bucket
Passa `amzn-s3-demo-bucket` al nome del bucket S3 di destinazione nelle seguenti politiche.
**Creazione di una policy IAM per esportare i log in un bucket Amazon S3**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**.
1. Scegli **Crea policy**.
1. Nella sezione **Editor di policy**, scegli l'opzione **JSON**.
1. Se il bucket di destinazione non utilizza la AWS KMS crittografia, incolla la seguente politica nell'editor.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
Se il bucket di destinazione utilizza la AWS KMS crittografia, incolla la seguente politica nell'editor.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
Se ACLs sono abilitati sul bucket di destinazione, aggiungi il blocco s3: PutObjectAcl to s3: PutObject Action nelle politiche precedenti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
1. Scegli **Next (Successivo)**.
1. Inserire un nome per la policy. Utilizzerai questo nome per collegare la policy al tuo ruolo IAM.
1. Quindi, per salvare la nuova policy, seleziona **Crea policy**.
Per creare un'attività di esportazione, devi accedere con un ruolo IAM a cui è associata la policy `AmazonS3ReadOnlyAccess` gestita, la policy IAM creata sopra e anche con le seguenti autorizzazioni:
+ `logs:CreateExportTask`
+ `logs:CancelExportTask`
+ `logs:DescribeExportTasks`
+ `logs:DescribeLogStreams`
+ `logs:DescribeLogGroups`
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
### Imposta le autorizzazioni su un bucket S3 per l'esportazione tra account (console)
Per impostazione predefinita, tutti i bucket e gli oggetti S3 sono privati. Solo il proprietario della risorsa, colui Account AWS che ha creato il bucket, può accedere al bucket e a tutti gli oggetti in esso contenuti. Tuttavia, il proprietario della risorsa può concedere le autorizzazioni di accesso ad altre risorse e ad altri utenti mediante una policy di accesso.
Quando si imposta la policy, consigliamo di includere una stringa generata in modo casuale come prefisso per il bucket, in modo che solo i flussi di log vengano esportati nel bucket.
**Importante**
Per rendere più sicure le esportazioni verso i bucket S3, ora ti chiediamo di specificare l'elenco degli account di origine autorizzati a esportare i dati di log nel tuo bucket S3.
Nell'esempio seguente, l'elenco di account IDs nella `aws:SourceAccount` chiave sarebbe costituito dagli account da cui un utente può esportare i dati di registro nel bucket S3. La chiave `aws:SourceArn` è la risorsa per la quale viene intrapresa l'azione. Puoi limitarla a un gruppo di log specifico o utilizzare un jolly come mostrato in questo esempio.
Ti consigliamo di includere anche l'ID dell'account in cui è stato creato il bucket S3 per consentire l'esportazione all'interno dello stesso account.
**Impostazione delle autorizzazioni su un bucket Amazon S3**
1. Nella console Amazon S3, scegli il bucket che hai creato.
1. Selezionare **Permissions (Autorizzazioni)**, **Add bucket policy (Aggiungi policy bucket)**.
1. In **Bucket Policy Editor** (Editor della policy del bucket), aggiungi la seguente policy. Cambia `amzn-s3-demo-bucket` nel nome del bucket S3. Assicurati di specificare l'endpoint corretto della regione, come `us-east-1`, per **Principale**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "s3:GetBucketAcl",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Action": "s3:PutObject",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/role_name"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
1. Seleziona **Save** (Salva) per impostare la policy appena aggiunta come la policy di accesso all'interno del bucket. Questa politica consente a CloudWatch Logs di esportare i dati di registro nel bucket S3. Il proprietario del bucket dispone di autorizzazioni complete su tutti gli oggetti esportati.
**avvertimento**
Se al bucket esistente sono già associate una o più policy, aggiungi le istruzioni per CloudWatch Logs access a quella o più policy. Consigliamo di valutare il set di autorizzazioni risultante per verificare che siano adeguate agli utenti che accederanno al bucket.
### (Facoltativo) Esportazione verso un bucket Amazon S3 di destinazione crittografato con SSE-KMS per l'esportazione tra account (console)
Questa procedura è necessaria solo se si esegue l'esportazione in un bucket S3 che utilizza la crittografia lato server con. AWS KMS keys Questa crittografia è nota come SSE-KMS.
**Esportazione di un bucket crittografato con SSE-KMS**
1. [Apri la console in /kms. AWS KMS https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
1. Nella barra di navigazione a sinistra, scegli **Customer managed keys** (Chiavi gestite dal cliente).
Scegli **Create Key** (Crea chiave).
1. Alla voce **Key type (Tipo di chiave)**, scegliere **Symmetric (Simmetrica)**.
1. Per **Key usage** (Utilizzo della chiave), scegli **Encrypt and decrypt** (Crittografa e decrittografa), quindi scegli **Next** (Avanti).
1. In **Add labels** (Aggiungi etichette), inserisci un alias per la chiave e, facoltativamente, aggiungi una descrizione o dei tag. Quindi scegli **Successivo**.
1. In **Key administrators** (Amministratori delle chiavi), seleziona chi può amministrare questa chiave, quindi scegli **Next** (Avanti).
1. In **Define key usage permissions** (Definisci le autorizzazioni per utilizzare la chiave), non apportare modifiche e scegli **Next** (Avanti).
1. Esamina le impostazioni e scegli **Finish** (Fine).
1. Torna alla pagina **Customer managed keys** (Chiavi gestite dal cliente) e scegli il nome della chiave che hai appena creato.
1. Nella sezione **Key policy** (Policy chiave), scegli **Switch to policy view** (Passa alla visualizzazione della policy).
1. Nella sezione **Key policy** (Policy chiave), scegli **Edit** (Modifica).
1. Aggiungi la seguente istruzione all'elenco delle istruzioni della policy chiave. Quando lo fai, *us-east-1* sostituiscilo con la regione dei tuoi log, *account-ARN* con l'ARN dell'account che possiede la chiave KMS, con il numero di account che possiede la chiave KMS*123456789012*, con l'ID della chiave *key\$1id* kms *role\$1name* e con il ruolo utilizzato per creare l'attività di esportazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CWL Service Principal usage",
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "account-ARN"
},
"Action": [
"kms:GetKeyPolicy*",
"kms:PutKeyPolicy*",
"kms:DescribeKey*",
"kms:CreateAlias*",
"kms:ScheduleKeyDeletion*",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM Role Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/role_name"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
1. Scegli **Save changes** (Salva modifiche).
1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Cerca il bucket che hai creato in [Creare un bucket S3 (CLI)](S3ExportTasks.md#CreateS3Bucket) e scegli il nome del bucket.
1. Scegliere la scheda **Properties (Proprietà)**. Quindi, in **Default Encryption** (Crittografia predefinita), scegli **Edit** (Modifica).
1. In **Server-side Encryption** (Crittografia lato server), scegli **Enable** (Abilita).
1. In **Tipo di crittografia**, scegli **Chiave AWS Key Management Service (SSE-KMS)**.
1. **Scegli tra AWS KMS le tue chiavi** e trova la chiave che hai creato.
1. Per **Bucket key** (Chiave bucket), scegli **Enable** (Abilita).
1. Scegli **Save changes** (Salva modifiche).
### Crea un'attività di esportazione per l'esportazione tra account diversi (console)
In questa procedura, si crea l'attività di esportazione per esportare i log da un gruppo di log.
**Per esportare dati su Amazon S3 utilizzando la console CloudWatch**
1. Accedi con le autorizzazioni sufficienti come documentato in [Configura le autorizzazioni di accesso (console)](#CreateIAMUser-With-S3-Access).
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione, selezionare **Log groups (Gruppi di log)**.
1. Nella schermata **Gruppi di log**, scegliere il nome del gruppo di log.
1. Scegli **Actions (Operazioni)**, **Export data to Amazon S3 (Esporta dati in Amazon S3**.
1. Nella schermata **Export data to Amazon S3 (Esporta dati in Amazon S3)**, in **Define data export (Definizione dell'esportazione dei dati)**, impostare l'intervallo di tempo per i dati da esportare in **From (Da)** e **To (A)**.
1. Se il gruppo di log dispone di più flussi di log, puoi fornire un prefisso del flusso di log per limitare i dati del gruppo di log a un flusso specifico. Scegliere **Advanced (Avanzato)** e immettere il prefisso del flusso di log in **Stream prefix (Prefisso flusso)**.
1. In **Choose S3 bucket** (Scegli bucket S3), seleziona l'account associato al bucket S3.
1. In **S3 bucket name** (Nome bucket S3), seleziona un bucket S3.
1. Per **Prefisso bucket S3**, immettere la stringa generata in modo casuale specificata nella policy del bucket.
1. Seleziona **Esporta** per esportare i dati di log in Amazon S3.
1. Per visualizzare lo stato dei dati di log esportati in Amazon S3, scegli **Operazioni**, quindi **Visualizza tutte le esportazioni in Amazon S3**.