CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント - AWS CloudTrail

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント

このセクションでは、CloudTrail ロールが CloudWatch Logs にログイベントを送信するために必要な許可ポリシーについて説明します。イベントを送信するように CloudTrail を設定するときは、ロールにポリシードキュメントをアタッチできます (「「CloudWatch Logs へのイベントの送信」」を参照)。IAM を使用してロールを作成することもできます。詳細については、「AWS のサービスにアクセス許可を委任するロールを作成する」または「IAM ロール (AWS CLI) の作成」を参照してください。

以下のポリシードキュメントの例には、指定したロググループで CloudWatch ログストリームを作成し、CloudTrail イベントを 米国東部 (オハイオ) リージョンのログストリームに配信するために必要なアクセス許可が含まれます。(これは、デフォルトの IAM ロール CloudTrail_CloudWatchLogs_Role に対するデフォルトのポリシーです。)

注記

混乱した代理の防止は、CloudWatch Logs モニタリングのロールポリシーには適用されません。ロールポリシーは、aws:SourceArn および aws:SourceAccount の使用をサポートしていません。

{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]
    }
  ]
}

組織の証跡にも使用される可能性があるポリシーを作成している場合は、そのロール用に作成されたデフォルトポリシーから変更する必要があります。例えば、以下のポリシーは、log_group_name の値として指定したロググループで CloudWatch Logs ログストリームを作成し、 AWS アカウント 111111111111、および o-exampleorgid の ID を持つ AWS Organizations 組織に適用される、アカウント 111111111111 で作成された組織証跡の両方の CloudTrail イベントを配信するアクセス許可を CloudTrail に付与します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

組織の証跡の詳細については、「組織の証跡の作成」を参照してください。