Permissões de registro em log do Acesso Verificado - AWS Acesso verificado

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões de registro em log do Acesso Verificado

O IAM principal usado para configurar o destino do registro precisa ter certas permissões para que o registro funcione corretamente. As seções a seguir mostram as permissões necessárias para cada destino de registro em log.

Para entrega ao CloudWatch Logs:

  • ec2:ModifyVerifiedAccessInstanceLoggingConfiguration na instância de Acesso Verificado

  • logs:CreateLogDelivery, logs:DeleteLogDelivery, logs:GetLogDelivery, logs:ListLogDeliveries e logs:UpdateLogDelivery em todos os recursos

  • logs:DescribeLogGroups, logs:DescribeResourcePolicies, e logs:PutResourcePolicy no grupo de logs de destino

Para entrega no Amazon S3:

  • ec2:ModifyVerifiedAccessInstanceLoggingConfiguration na instância de Acesso Verificado

  • logs:CreateLogDelivery, logs:DeleteLogDelivery, logs:GetLogDelivery, logs:ListLogDeliveries e logs:UpdateLogDelivery em todos os recursos

  • s3:GetBucketPolicy e s3:PutBucketPolicy no bucket de destino

Para entrega ao Firehose:

  • ec2:ModifyVerifiedAccessInstanceLoggingConfiguration na instância de Acesso Verificado

  • firehose:TagDeliveryStream Para todos os recursos

  • iam:CreateServiceLinkedRole Para todos os recursos

  • logs:CreateLogDelivery, logs:DeleteLogDelivery, logs:GetLogDelivery, logs:ListLogDeliveries e logs:UpdateLogDelivery em todos os recursos