IAM 데이터 보호 정책을 생성하거나 작업하는 데 필요한 권한 - Amazon CloudWatch 로그
계정 수준 데이터 보호 정책에 필요한 권한단일 로그 그룹에 대한 데이터 보호 정책에 필요한 권한샘플 데이터 보호 정책

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM 데이터 보호 정책을 생성하거나 작업하는 데 필요한 권한

로그 그룹에 대한 데이터 보호 정책을 사용하려면 다음 표에 나와 있는 특정 권한이 있어야 합니다. 권한은 계정 전체 데이터 보호 정책과 단일 로그 그룹에 적용되는 데이터 보호 정책에 따라 다릅니다.

계정 수준 데이터 보호 정책에 필요한 권한

참고

Lambda 함수 내에서 이러한 작업을 수행하는 경우 Lambda 실행 역할 및 권한 경계에 다음 권한도 포함되어야 합니다.

Operation IAM 필요한 권한 Resource

감사 대상이 없는 데이터 보호 정책 생성

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

CloudWatch 로그를 감사 대상으로 사용하여 데이터 보호 정책 생성

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

logs:CreateLogDelivery

*

logs:PutResourcePolicy

*

logs:DescribeResourcePolicies

*

logs:DescribeLogGroups

*

Firehose를 감사 대상으로 사용하여 데이터 보호 정책 생성

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

logs:CreateLogDelivery

*

firehose:TagDeliveryStream

arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM

Amazon S3를 감사 대상으로 사용하여 데이터 보호 정책 생성

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

logs:CreateLogDelivery

*

s3:GetBucketPolicy

arn:aws:s3:::YOUR_BUCKET

s3:PutBucketPolicy

arn:aws:s3:::YOUR_BUCKET

지정된 로그 그룹에서 마스킹된 로그 이벤트 마스킹 해제

logs:Unmask

arn:aws:logs:::log-group:*

기존 데이터 보호 정책 보기

logs:GetDataProtectionPolicy

*

데이터 보호 정책 삭제

logs:DeleteAccountPolicy

*

logs:DeleteDataProtectionPolicy

*

데이터 보호 감사 로그가 이미 대상으로 전송되고 있는 경우, 동일한 대상으로 로그를 전송하는 다른 정책에는 logs:PutDataProtectionPolicylogs:CreateLogDelivery 권한만 있으면 됩니다.

단일 로그 그룹에 대한 데이터 보호 정책에 필요한 권한

참고

Lambda 함수 내에서 이러한 작업을 수행하는 경우 Lambda 실행 역할 및 권한 경계에 다음 권한도 포함되어야 합니다.

Operation IAM 필요한 권한 Resource

감사 대상이 없는 데이터 보호 정책 생성

logs:PutDataProtectionPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

CloudWatch 로그를 감사 대상으로 사용하여 데이터 보호 정책 생성

logs:PutDataProtectionPolicy

logs:CreateLogDelivery

logs:PutResourcePolicy

logs:DescribeResourcePolicies

logs:DescribeLogGroups

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

*

*

*

*

Firehose를 감사 대상으로 사용하여 데이터 보호 정책 생성

logs:PutDataProtectionPolicy

logs:CreateLogDelivery

firehose:TagDeliveryStream

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

*

arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM

Amazon S3를 감사 대상으로 사용하여 데이터 보호 정책 생성

logs:PutDataProtectionPolicy

logs:CreateLogDelivery

s3:GetBucketPolicy

s3:PutBucketPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

*

arn:aws:s3:::YOUR_BUCKET

arn:aws:s3:::YOUR_BUCKET

마스킹된 로그 이벤트 마스크 해제

logs:Unmask

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

기존 데이터 보호 정책 보기

logs:GetDataProtectionPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

데이터 보호 정책 삭제

logs:DeleteDataProtectionPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

데이터 보호 감사 로그가 이미 대상으로 전송되고 있는 경우, 동일한 대상으로 로그를 전송하는 다른 정책에는 logs:PutDataProtectionPolicylogs:CreateLogDelivery 권한만 있으면 됩니다.

샘플 데이터 보호 정책

다음 샘플 정책을 사용하면 사용자는 세 가지 유형의 감사 대상 모두에 감사 결과를 전송할 수 있는 데이터 보호 정책을 생성, 확인 및 삭제할 수 있습니다. 사용자는 마스크되지 않은 데이터를 볼 수 없습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "YOUR_SID_1",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "YOUR_SID_2",
            "Effect": "Allow",
            "Action": [
                "logs:GetDataProtectionPolicy",
                "logs:DeleteDataProtectionPolicy",
                "logs:PutDataProtectionPolicy",
                "s3:PutBucketPolicy",
                "firehose:TagDeliveryStream",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
                "arn:aws:firehose:::deliverystream/YOUR_DELIVERY_STREAM",
                "arn:aws:s3:::YOUR_BUCKET",
                "arn:aws:logs:::log-group:YOUR_LOG_GROUP:*"
            ]
        }
    ]
}