모니터링을 위해 CloudWatch Logs를 사용하는 CloudTrail의 역할 정책 문서 - AWS CloudTrail

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

모니터링을 위해 CloudWatch Logs를 사용하는 CloudTrail의 역할 정책 문서

이 섹션에서는 CloudTrail 역할이 로그 이벤트를 CloudWatch Logs에 전송하는 데 필요한 권한 정책을 설명합니다. CloudWatch Logs에 이벤트 전송에 설명된 대로 이벤트를 전송하도록 CloudTrail을 구성할 때 역할에 정책 문서를 연결할 수 있습니다. 또한 IAM을 사용하여 역할을 생성할 수도 있습니다. 자세한 내용은 AWS 서비스에 권한을 위임할 역할 생성 또는 IAM 역할 생성(AWS CLI)을 참조하세요.

다음 정책 문서 예에는 지정된 로그 그룹에 CloudWatch 로그 스트림을 생성하고 미국 동부(오하이오) 리전의 해당 로그 스트림에 CloudTrail 이벤트를 전달하는 데 필요한 권한이 포함되어 있습니다. (이는 기본 IAM 역할 CloudTrail_CloudWatchLogs_Role에 대한 기본 정책입니다.)

참고

혼동된 대리자 방지는 CloudWatch Logs 모니터링을 위한 역할 정책에 적용되지 않습니다. 역할 정책은 aws:SourceArnaws:SourceAccount의 사용을 지원하지 않습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {

      "Sid": "AWSCloudTrailCreateLogStream2014110",
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]

    },
    {
      "Sid": "AWSCloudTrailPutLogEvents20141101",
      "Effect": "Allow",
      "Action": [
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
      ]
    }
  ]
}

조직 추적에도 사용할 수 있는 정책을 만들려는 경우, 역할에 대해 생성된 기본 정책에서 수정해야 합니다. 예를 들어 다음 정책은 AWS 계정 111111111111의 추적과 AWS Organizations 조직(ID: o-exampleorgid)에 적용되는 111111111111 계정에 생성된 조직 추적 모두에 대해 log_group_name 값으로 지정된 로그 그룹에 CloudWatch Logs 로그 스트림을 생성하고 이 로그 스트림에 CloudTrail 이벤트를 전달하는 데 필요한 권한을 CloudTrail에 부여합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

조직 추적에 대한 자세한 내용은 조직에 대한 추적 생성을 참조하십시오.