As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Exportação de dados de log para o Amazon S3 usando o console.
Nos exemplos a seguir, você usa o CloudWatch console da Amazon para exportar todos os dados de um grupo de CloudWatch logs do Amazon Logs chamado `my-log-group` para um bucket do Amazon S3 chamado. `amzn-s3-demo-bucket`
Há suporte para a exportação de dados de log para buckets do S3 criptografados por SSE-KMS. Não há suporte para a exportação de buckets do S3 criptografados com DSSE-KMS.
Os detalhes de como configurar a exportação dependem se o bucket do Amazon S3 para o qual você deseja exportar está na mesma conta que os logs que estão sendo exportados ou em uma conta diferente.
**Topics**
+ [Exportação para a mesma conta (console)](#ExportSingleAccount)
+ [Exportação entre contas (console)](#ExportCrossAccount)
## Exportação para a mesma conta (console)
Se o bucket do Amazon S3 estiver na mesma conta dos logs que estão sendo exportados, use as instruções nesta seção.
**Topics**
+ [Crie um bucket do Amazon S3 (console)](#CreateS3BucketConsole)
+ [Configurar permissões de acesso (console)](#CreateIAMUser-With-S3-Access)
+ [Definir permissões em um bucket do Amazon S3 (console)](#S3PermissionsConsole)
+ [(Opcional) Exportação para um bucket Amazon S3 de destino criptografado com SSE-KMS (console)](#S3-Export-KMSEncrypted)
+ [Criar uma tarefa de exportação (console)](#CreateExportTaskConsole)
### Crie um bucket do Amazon S3 (console)
Recomendamos que você use um bucket criado especificamente para o CloudWatch Logs. No entanto, se você desejar usar um bucket existente, vá para a etapa 2.
**nota**
O bucket do Amazon S3 deve residir na mesma região que os dados de log a serem exportados. CloudWatch O Logs não suporta a exportação de dados para buckets do Amazon S3 em uma região diferente.
**Como criar um bucket do Amazon S3**
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Se necessário, altere a região da . Na barra de navegação, escolha a região em que seus CloudWatch registros residem.
1. Escolha **Criar bucket**.
1. Para **Bucket Name (Nome do bucket)**, digite um nome para o bucket.
1. Em **Região**, selecione a região em que seus dados de CloudWatch registros residem.
1. Escolha **Criar**.
### Configurar permissões de acesso (console)
Para criar a tarefa de exportação, você precisará estar conectado com a função do `AmazonS3ReadOnlyAccess` IAM e com as seguintes permissões:
+ `logs:CreateExportTask`
+ `logs:CancelExportTask`
+ `logs:DescribeExportTasks`
+ `logs:DescribeLogStreams`
+ `logs:DescribeLogGroups`
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
### Definir permissões em um bucket do Amazon S3 (console)
Por padrão, todos os buckets e objetos do Amazon S3 são privados. Somente o proprietário do recurso, Conta da AWS aquele que criou o bucket, pode acessar o bucket e quaisquer objetos que ele contenha. No entanto, o proprietário do recurso pode optar por conceder permissões de acesso a outros recursos e usuários ao criar uma política de acesso padrão.
Quando você define a política, é recomendável incluir uma string gerada aleatoriamente como o prefixo para o bucket, para que apenas os streams de log desejados sejam exportados para o bucket.
**Importante**
Para tornar as exportações para buckets do Amazon S3 mais seguras, agora exigimos que você especifique a lista de contas de origem que têm permissão para exportar dados de log para seu bucket do S3.
No exemplo a seguir, a lista de contas IDs na `aws:SourceAccount` chave seriam as contas das quais um usuário pode exportar dados de log para seu bucket do Amazon S3. A chave `aws:SourceArn` seria o recurso para o qual a ação está sendo realizada. Você pode restringir isso a um grupo de logs específico ou usar um curinga, como mostrado neste exemplo.
Recomendamos que você inclua também o ID da conta na qual o bucket do S3 foi criado para permitir a exportação dentro da mesma conta.
**Para definir permissões em um bucket do Amazon S3**
1. No console do Amazon S3, escolha o bucket que você criou.
1. Escolha **Permissions (Permissões)**, **Bucket policy (Política de bucket)**.
1. No **Bucket Policy Editor** (Editor de política do bucket), adicione a política a seguir. Altere `amzn-s3-demo-bucket` para o nome do bucket do S3. Certifique-se de especificar o endpoint correto da região como `us-west-1` para a **Entidade principal**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCloudWatchLogsGetBucketAcl",
"Action": "s3:GetBucketAcl",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Sid": "AllowCloudWatchLogsPutObject",
"Action": "s3:PutObject",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
}
]
}
```
------
1. Escolha **Salvar** para definir a política que você acabou de adicionar como política de acesso em seu bucket. Essa política permite que a CloudWatch Logs exporte dados de log para seu bucket do Amazon S3. O proprietário do bucket tem permissões completas sobre todos os objetos exportados.
**Atenção**
Se o bucket existente já tiver uma ou mais políticas anexadas, adicione as instruções de acesso de CloudWatch registros a essa política ou políticas. Recomendamos avaliar o conjunto resultante de permissões para ter certeza de que elas são apropriadas para os usuários que acessarão o bucket.
### (Opcional) Exportação para um bucket Amazon S3 de destino criptografado com SSE-KMS (console)
Essa etapa é necessária somente se você estiver exportando para um bucket do Amazon S3 que usa criptografia do lado do servidor com. AWS KMS keys Essa criptografia é conhecida como SSE-KMS.
**Para exportar para um bucket criptografado com SSE-KMS**
1. Abra o AWS KMS console em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
1. Na barra de navegação esquerdo, escolha **Customer managed keys** (Chaves gerenciadas pelo cliente).
Escolha **Create Key (Criar chave)**.
1. Para **Key type (Tipo de chave)**, escolha **Symmetric (Simétrica)**.
1. Em **Key usage (Uso da chave)**, escolha **Encrypt and decrypt (Criptografar e descriptografar)** e, em seguida, escolha **Next (Avançar)**.
1. Em **Add labels (Adicionar rótulos)**, insira um alias para a chave e, opcionalmente, adicione uma descrição ou tags. Escolha **Próximo**.
1. Em **Key administrators (Administradores de chaves)**, selecione quem pode administrar essa chave e escolha **Next (Avançar)**.
1. Em **Define key usage permissions (Definir permissões de uso da chave)**, não faça alterações e escolha **Next (Avançar)**.
1. Revise as configurações e escolha **Finish (Concluir)**.
1. De volta à página **Customer managed keys (Chaves gerenciadas pelo cliente)**, escolha o nome da chave que você acabou de criar.
1. Na guia **Key Policy (Política de chaves)**, selecione **Switch to policy view (Alternar para visualização de política)**.
1. Na seção **Key policy** (Política de chaves), escolha **Edit** (Editar).
1. Adicione a declaração a seguir à lista de declarações de política de chaves. Ao fazer isso, *Region* substitua pela região dos seus registros e *account-ARN* substitua pelo ARN da conta que possui a chave KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CWL Service Principal usage",
"Effect": "Allow",
"Principal": {
"Service": "logs.Region.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "account-ARN"
},
"Action": [
"kms:GetKeyPolicy*",
"kms:PutKeyPolicy*",
"kms:DescribeKey*",
"kms:CreateAlias*",
"kms:ScheduleKeyDeletion*",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
1. Escolha **Salvar alterações**.
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Encontre o bucket que você criou no [Crie um bucket S3 (CLI)](S3ExportTasks.md#CreateS3Bucket) e escolha o nome do bucket.
1. Escolha a guia **Properties (Propriedades)**. Em seguida, em **Default encryption (Criptografia padrão)**, escolha **Edit (Editar)**.
1. Em **Server-side encryption** (Criptografia no lado do servidor), escolha **Enable** (Habilitar).
1. Em **Encryption type** (Tipo de criptografia), selecione **AWS Key Management Service key (SSE-KMS)** (Chave do SSE-KMS)).
1. **Escolha Escolher entre suas AWS KMS chaves** e encontre a chave que você criou.
1. Para **Bucket key** (Chave do bucket), escolha **Enable** (Habilitar).
1. Escolha **Salvar alterações**.
### Criar uma tarefa de exportação (console)
Neste procedimento, você cria a tarefa de exportação para exportar registros de um grupo de registros.
**Para exportar dados para o Amazon S3 usando o console CloudWatch**
1. Faça login com permissões suficientes, conforme documentado em [Configurar permissões de acesso (console)](#CreateIAMUser-With-S3-Access).
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, escolha **Grupos de logs**.
1. Na tela **Grupos de logs**, escolha o nome do grupo de logs.
1. Escolha **Actions** (Ações), **Export to Amazon S3** (Exportar para o Amazon S3).
1. Na tela **Export data to Amazon S3** (Exportar dados para o Amazon S3), em **Define data export** (Definir exportação de dados), defina o período dos dados a serem exportados usando **From** (De) e **To** (Até).
1. Se o seu grupo de logs tiver vários streams de log, você poderá fornecer um prefixo de stream de logs para limitar os dados do grupo de logs para um stream específico. Escolha **Advanced (Avançado)** e, depois, em **Stream prefix (Prefixo do stream)**, digite o prefixo do stream de logs.
1. Em **Escolher bucket do S3**, escolha a conta associada ao bucket do S3.
1. Em **Nome do bucket do S3**, escolha um bucket do &S3;.
1. Em **Prefixo do bucket do S3**, insira a string gerada aleatoriamente que você especificou na política do bucket.
1. Escolha **Export** (Exportar) para exportar seus dados de log para o Amazon S3.
1. Para visualizar o status dos dados de log exportados para o Amazon S3, escolha **Actions** (Ações), **View all exports to Amazon S3** (Visualizar todas as exportações para o Amazon S3).
## Exportação entre contas (console)
Se o bucket do Amazon S3 estiver em uma conta diferente da conta dos logs que estão sendo exportados, use as instruções nesta seção.
**Topics**
+ [Crie um bucket Amazon S3 para exportação entre contas (console)](#CreateS3BucketConsole-crossaccount)
+ [Configurar permissões de acesso para exportação entre contas (console)](#CreateIAMUser-With-S3-Access-crossaccount)
+ [Defina permissões em um bucket do S3 para exportação entre contas (console)](#S3PermissionsConsole-crossaccount)
+ [(Opcional) Exportação para um bucket Amazon S3 de destino criptografado com SSE-KMS para exportação entre contas (console)](#S3-Export-KMSEncrypted-crossaccount)
+ [Crie uma tarefa de exportação para exportação entre contas (console)](#CreateExportTaskConsole-crossaccount)
### Crie um bucket Amazon S3 para exportação entre contas (console)
Recomendamos que você use um bucket criado especificamente para o CloudWatch Logs. No entanto, se quiser usar um bucket existente, você pode pular esse procedimento.
**nota**
O bucket do Amazon S3 deve residir na mesma região que os dados de log a serem exportados. CloudWatch O Logs não suporta a exportação de dados para buckets do Amazon S3 em uma região diferente.
**Como criar um bucket do Amazon S3**
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Se necessário, altere a região da . Na barra de navegação, escolha a região em que seus CloudWatch registros residem.
1. Escolha **Criar bucket**.
1. Para **Bucket Name (Nome do bucket)**, digite um nome para o bucket.
1. Em **Região**, selecione a região em que seus dados de CloudWatch registros residem.
1. Escolha **Criar**.
### Configurar permissões de acesso para exportação entre contas (console)
Primeiro, você deve criar uma nova política do IAM para permitir que CloudWatch os Logs tenham a `s3:PutObject` ação para o bucket Amazon S3 de destino na conta de destino.
Além da `s3:PutObject` ação, as ações adicionais incluídas na política dependem de o bucket de destino usar AWS KMS criptografia ou ter sido ACLs habilitado usando a configuração de [propriedade de objetos do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html).
+ Se estiver usando a criptografia KMS, adicione as ações `kms:GenerateDataKey` e `kms:Decrypt` ao recurso chave
+ Se ACLs estiverem habilitados no bucket, adicione a `s3:PutObjectAcl` ação para o recurso do bucket
Altere `amzn-s3-demo-bucket` para o nome do seu bucket S3 de destino nas políticas a seguir.
**Para criar uma política do IAM para exportar registros para um bucket do Amazon S3**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação à esquerda, escolha **Políticas**.
1. Selecione **Criar política**.
1. Na seção **Editor de políticas**, escolha **JSON**.
1. Se o bucket de destino não usar AWS KMS criptografia, cole a política a seguir no editor.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
Se o bucket de destino usar AWS KMS criptografia, cole a política a seguir no editor.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
Se ACLs estiverem habilitados no bucket de destino, adicione s3: PutObjectAcl ao s3: PutObject Action block nas políticas acima.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
1. Escolha **Próximo**.
1. Insira um nome de política. Você usará esse nome para vincular a política ao seu perfil do IAM.
1. Escolha **Criar política** para salvar a nova política.
Para criar uma tarefa de exportação, você deve estar conectado com uma função do IAM que tenha a política `AmazonS3ReadOnlyAccess` gerenciada anexada, a política do IAM criada acima e também com as seguintes permissões:
+ `logs:CreateExportTask`
+ `logs:CancelExportTask`
+ `logs:DescribeExportTasks`
+ `logs:DescribeLogStreams`
+ `logs:DescribeLogGroups`
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
### Defina permissões em um bucket do S3 para exportação entre contas (console)
Por padrão, todos os buckets e objetos do S3 são privados. Somente o proprietário do recurso, Conta da AWS aquele que criou o bucket, pode acessar o bucket e quaisquer objetos que ele contenha. No entanto, o proprietário do recurso pode optar por conceder permissões de acesso a outros recursos e usuários ao criar uma política de acesso padrão.
Quando você define a política, é recomendável incluir uma string gerada aleatoriamente como o prefixo para o bucket, para que apenas os streams de log desejados sejam exportados para o bucket.
**Importante**
Para tornar as exportações para buckets S3 mais seguras, agora exigimos que você especifique a lista de contas de origem que têm permissão para exportar dados de log para seu bucket S3.
No exemplo a seguir, a lista de contas IDs na `aws:SourceAccount` chave seriam as contas das quais um usuário pode exportar dados de log para seu bucket do S3. A chave `aws:SourceArn` seria o recurso para o qual a ação está sendo realizada. Você pode restringir isso a um grupo de logs específico ou usar um curinga, como mostrado neste exemplo.
Recomendamos que você inclua também o ID da conta na qual o bucket do S3 foi criado para permitir a exportação dentro da mesma conta.
**Para definir permissões em um bucket do Amazon S3**
1. No console do Amazon S3, escolha o bucket que você criou.
1. Escolha **Permissions (Permissões)**, **Bucket policy (Política de bucket)**.
1. No **Bucket Policy Editor** (Editor de política do bucket), adicione a política a seguir. Altere `amzn-s3-demo-bucket` para o nome do bucket do S3. Certifique-se de especificar o endpoint correto da região como `us-east-1` para a **Entidade principal**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "s3:GetBucketAcl",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Action": "s3:PutObject",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/role_name"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
1. Escolha **Salvar** para definir a política que você acabou de adicionar como política de acesso em seu bucket. Essa política permite que o CloudWatch Logs exporte dados de log para seu bucket do S3. O proprietário do bucket tem permissões completas sobre todos os objetos exportados.
**Atenção**
Se o bucket existente já tiver uma ou mais políticas anexadas, adicione as instruções de acesso de CloudWatch registros a essa política ou políticas. Recomendamos avaliar o conjunto resultante de permissões para ter certeza de que elas são apropriadas para os usuários que acessarão o bucket.
### (Opcional) Exportação para um bucket Amazon S3 de destino criptografado com SSE-KMS para exportação entre contas (console)
Esse procedimento é necessário somente se você estiver exportando para um bucket do S3 que usa criptografia do lado do servidor com. AWS KMS keys Essa criptografia é conhecida como SSE-KMS.
**Para exportar para um bucket criptografado com SSE-KMS**
1. Abra o AWS KMS console em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
1. Na barra de navegação esquerdo, escolha **Customer managed keys** (Chaves gerenciadas pelo cliente).
Escolha **Create Key (Criar chave)**.
1. Para **Key type (Tipo de chave)**, escolha **Symmetric (Simétrica)**.
1. Em **Key usage (Uso da chave)**, escolha **Encrypt and decrypt (Criptografar e descriptografar)** e, em seguida, escolha **Next (Avançar)**.
1. Em **Add labels (Adicionar rótulos)**, insira um alias para a chave e, opcionalmente, adicione uma descrição ou tags. Escolha **Próximo**.
1. Em **Key administrators (Administradores de chaves)**, selecione quem pode administrar essa chave e escolha **Next (Avançar)**.
1. Em **Define key usage permissions (Definir permissões de uso da chave)**, não faça alterações e escolha **Next (Avançar)**.
1. Revise as configurações e escolha **Finish (Concluir)**.
1. De volta à página **Customer managed keys (Chaves gerenciadas pelo cliente)**, escolha o nome da chave que você acabou de criar.
1. Na guia **Key Policy (Política de chaves)**, selecione **Switch to policy view (Alternar para visualização de política)**.
1. Na seção **Key policy** (Política de chaves), escolha **Edit** (Editar).
1. Adicione a declaração a seguir à lista de declarações de política de chaves. Ao fazer isso, *us-east-1* substitua pela região dos seus registros, *account-ARN* pelo ARN da conta que possui a chave KMS, *123456789012* pelo número da conta que possui a chave KMS, *key\$1id* pelo ID da chave kms-e pela função usada para criar a tarefa *role\$1name* de exportação.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CWL Service Principal usage",
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "account-ARN"
},
"Action": [
"kms:GetKeyPolicy*",
"kms:PutKeyPolicy*",
"kms:DescribeKey*",
"kms:CreateAlias*",
"kms:ScheduleKeyDeletion*",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM Role Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/role_name"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
1. Escolha **Salvar alterações**.
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Encontre o bucket que você criou no [Crie um bucket S3 (CLI)](S3ExportTasks.md#CreateS3Bucket) e escolha o nome do bucket.
1. Escolha a guia **Properties (Propriedades)**. Em seguida, em **Default encryption (Criptografia padrão)**, escolha **Edit (Editar)**.
1. Em **Server-side encryption** (Criptografia no lado do servidor), escolha **Enable** (Habilitar).
1. Em **Encryption type** (Tipo de criptografia), selecione **AWS Key Management Service key (SSE-KMS)** (Chave do SSE-KMS)).
1. **Escolha Escolher entre suas AWS KMS chaves** e encontre a chave que você criou.
1. Para **Bucket key** (Chave do bucket), escolha **Enable** (Habilitar).
1. Escolha **Salvar alterações**.
### Crie uma tarefa de exportação para exportação entre contas (console)
Neste procedimento, você cria a tarefa de exportação para exportar registros de um grupo de registros.
**Para exportar dados para o Amazon S3 usando o console CloudWatch**
1. Faça login com permissões suficientes, conforme documentado em [Configurar permissões de acesso (console)](#CreateIAMUser-With-S3-Access).
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, escolha **Grupos de logs**.
1. Na tela **Grupos de logs**, escolha o nome do grupo de logs.
1. Escolha **Actions** (Ações), **Export to Amazon S3** (Exportar para o Amazon S3).
1. Na tela **Export data to Amazon S3** (Exportar dados para o Amazon S3), em **Define data export** (Definir exportação de dados), defina o período dos dados a serem exportados usando **From** (De) e **To** (Até).
1. Se o seu grupo de logs tiver vários streams de log, você poderá fornecer um prefixo de stream de logs para limitar os dados do grupo de logs para um stream específico. Escolha **Advanced (Avançado)** e, depois, em **Stream prefix (Prefixo do stream)**, digite o prefixo do stream de logs.
1. Em **Escolher bucket do S3**, escolha a conta associada ao bucket do S3.
1. Em **Nome do bucket do S3**, escolha um bucket do S3.
1. Em **Prefixo do bucket do S3**, insira a string gerada aleatoriamente que você especificou na política do bucket.
1. Escolha **Export** (Exportar) para exportar seus dados de log para o Amazon S3.
1. Para visualizar o status dos dados de log exportados para o Amazon S3, escolha **Actions** (Ações), **View all exports to Amazon S3** (Visualizar todas as exportações para o Amazon S3).