Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
IAMautorizzazioni necessarie per creare o utilizzare una politica di protezione dei dati
Per poter utilizzare le policy di protezione dei dati per i gruppi di log, è necessario disporre di determinate autorizzazioni, come mostrato nelle tabelle seguenti. Le autorizzazioni sono diverse per le policy di protezione dei dati a livello di account e per quelle che si applicano a un singolo gruppo di log.
Autorizzazioni necessarie per le policy di protezione dei dati a livello di account
Nota
Se si esegue una di queste operazioni all'interno di una funzione Lambda, il ruolo di esecuzione Lambda e il limite delle autorizzazioni devono includere anche le seguenti autorizzazioni.
| Operazione | IAMautorizzazione necessaria | Risorsa |
|---|---|---|
|
Crea una policy di protezione dei dati senza destinazioni di verifica |
|
|
|
|
|
|
|
Crea una politica di protezione dei dati con CloudWatch Logs come destinazione di controllo |
|
|
|
|
| |
|
|
| |
|
| |
|
| |
|
| |
|
Crea una politica di protezione dei dati con Firehose come destinazione di controllo |
|
|
|
| |
|
| |
|
| |
|
Crea una policy di protezione dei dati con Amazon S3 come destinazione di verifica |
|
|
|
| |
|
| |
|
| |
|
| |
|
Smaschera i log eventi mascherati in un gruppo di log specificato |
|
|
|
Visualizza una policy di protezione dei dati esistente |
|
|
|
Elimina una policy di protezione dei dati |
|
|
|
|
Se i log di controllo della protezione dei dati sono già stati inviati a una destinazione, le altre policy che inviano i log alla stessa destinazione richiedono solo le autorizzazioni logs:PutDataProtectionPolicy e logs:CreateLogDelivery.
Autorizzazioni necessarie per le policy di protezione dei dati per un singolo gruppo di log
Nota
Se si esegue una di queste operazioni all'interno di una funzione Lambda, il ruolo di esecuzione Lambda e il limite delle autorizzazioni devono includere anche le seguenti autorizzazioni.
| Operazione | IAMautorizzazione necessaria | Risorsa |
|---|---|---|
|
Crea una policy di protezione dei dati senza destinazioni di verifica |
|
|
|
Crea una politica di protezione dei dati con CloudWatch Logs come destinazione di controllo |
|
|
|
Crea una politica di protezione dei dati con Firehose come destinazione di controllo |
|
|
|
Creazione di una policy di protezione dei dati con Amazon S3 come destinazione di controllo |
|
|
|
Smascheramento di eventi di log mascherati |
|
|
|
Visualizzazione di una policy di protezione dei dati esistente |
|
|
|
Elimina una policy di protezione dei dati |
|
|
Se i log di controllo della protezione dei dati sono già stati inviati a una destinazione, le altre policy che inviano i log alla stessa destinazione richiedono solo le autorizzazioni logs:PutDataProtectionPolicy e logs:CreateLogDelivery.
Policy di protezione dei dati di esempio
La seguente policy di esempio consente a un utente di creare, visualizzare ed eliminare policy di protezione dei dati in grado di inviare i risultati del controllo a tutti e tre i tipi di destinazioni di controllo. Non consente all'utente di visualizzare dati non mascherati.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "YOUR_SID_1", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:PutResourcePolicy", "logs:DescribeLogGroups", "logs:DescribeResourcePolicies" ], "Resource": "*" }, { "Sid": "YOUR_SID_2", "Effect": "Allow", "Action": [ "logs:GetDataProtectionPolicy", "logs:DeleteDataProtectionPolicy", "logs:PutDataProtectionPolicy", "s3:PutBucketPolicy", "firehose:TagDeliveryStream", "s3:GetBucketPolicy" ], "Resource": [ "arn:aws:firehose:::deliverystream/YOUR_DELIVERY_STREAM", "arn:aws:s3:::YOUR_BUCKET", "arn:aws:logs:::log-group:YOUR_LOG_GROUP:*" ] } ] }
