が CloudWatch ログ CloudTrail をモニタリングに使用するロールポリシードキュメント - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

が CloudWatch ログ CloudTrail をモニタリングに使用するロールポリシードキュメント

このセクションでは、 CloudTrail ロールがログイベントを CloudWatch ログに送信するために必要なアクセス許可ポリシーについて説明します。「」で説明されているように、イベントを送信する CloudTrail ように を設定するときに、ポリシードキュメントをロールにアタッチできます CloudWatch ログへのイベントの送信。を使用してロールを作成することもできますIAM。詳細については、「 にアクセス許可を委任するロールの作成 AWS のサービス」または「 IAMロールの作成 (AWS CLI)」を参照してください。

次のポリシードキュメントの例には、指定した CloudWatch ロググループにログストリームを作成し、米国東部 (オハイオ) リージョンでそのログストリームに CloudTrail イベントを配信するために必要なアクセス許可が含まれています。(これはデフォルトIAMロール のデフォルトポリシーです)CloudTrail_CloudWatchLogs_Role

注記

混乱した代理の防止は、 CloudWatch ログモニタリングのロールポリシーには適用されません。ロールポリシーは、 aws:SourceArnおよび の使用をサポートしていませんaws:SourceAccount

{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]
    }
  ]
}

組織の証跡にも使用される可能性があるポリシーを作成している場合は、そのロール用に作成されたデフォルトポリシーから変更する必要があります。例えば、次のポリシー CloudTrail は、 の値として指定したロググループに CloudWatch Logs ログストリームを作成するために必要なアクセス許可を付与します。log_group_nameアカウント 111111111111 の証跡と、 の ID を持つ組織に適用される AWS 111111111111 アカウントで作成された AWS Organizations 組織の証跡の両方について、そのログストリームにイベントを配信 CloudTrailするには、、、および を使用します。o-exampleorgid:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

組織の証跡の詳細については、「組織の証跡の作成」を参照してください。