本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 您可以向其发送 VPC 解析器查询日志的资源
<a name="resolver-query-logs-choosing-target-resource"></a>

**注意**  
如果您希望记录具有较高每秒查询 (QPS) 的工作负载的查询，则应使用 Amazon S3 确保您的查询日志在写入目标时不会受到节流限制。如果您使用 Amazon CloudWatch，则可以提高该`PutLogEvents`操作的每秒请求次数上限。要了解有关提高 CloudWatch 限制的更多信息，请参阅 *Amazon CloudWatch 用户指南*中的[CloudWatch 日志配额](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html)。

您可以将 VPC 解析器查询日志发送到以下 AWS 资源：

**亚马逊 CloudWatch 日志（亚马逊 CloudWatch 日志）日志组**  
您可以使用 Logs Insights 来分析日志并创建指标与告警。  
有关更多信息，请参阅 [Amazon CloudWatch 日志用户指南](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)。

**Amazon S3 (S3) 存储桶**  
S3 存储桶对于长期日志归档来说非常经济。延迟通常较高。  
支持所有 S3 服务器端加密选项。有关更多信息，请参阅《Amazon S3 用户指南》**中的[使用服务器端加密保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)。  
如果您选择使用 AWS KMS 密钥进行服务器端加密 (SSE-KMS)，则必须更新客户托管密钥的密钥策略，以便日志传输账户可以写入您的 Amazon S3 存储桶。*有关与 SSE-KMS 一起使用的所需密钥策略的更多信息，请参阅[亚马逊用户指南中的 Amazon S3 存储桶服务器端加密](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-infrastructure-V2-S3.html#AWS-logs-SSE-KMS-S3-V2)。 CloudWatch *  
如果 S3 存储桶位于您拥有的账户中，则所需的权限会自动添加到您的存储桶策略中。如果要将日志发送到不属于您的账户中的 S3 存储桶，则 S3 存储桶的拥有者必须在其存储桶策略中为您的账户添加权限。例如：    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "CrossAccountAccess",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::your_bucket_name/AWSLogs/your_caller_account/*"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::your_bucket_name"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "iam_user_arn_or_account_number_for_root"
            },
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::your_bucket_name"
        }
    ]
}
```
 如果要将日志存储在组织的中央 S3 存储桶中，我们建议您从集中账户（具有写入中央存储桶的必要权限）设置查询日志记录配置，并使用 [RAM](query-logging-configurations-managing-sharing.md) 以跨账户共享配置。
有关更多信息，请参阅 [Amazon Simple Storage Service 用户指南](https://docs.aws.amazon.com/AmazonS3/latest/userguide/)。

**Firehose 传输流**  
您可以将日志实时流式传输到亚马逊 OpenSearch 服务、Amazon Redshift 或其他应用程序。  
有关更多信息，请参阅[《Amazon Data Firehose 开发人员指南》](https://docs.aws.amazon.com/firehose/latest/dev/)。

有关 Resolver 查询日志的定价信息，请参阅 [Amazon CloudWatch 定价](https://aws.amazon.com/cloudwatch/pricing/)。

CloudWatch 使用 VPC 解析器日志时，即使日志直接发布到 Amazon S3，也会收取销售日志费用。有关更多信息，请参阅按照 [Amazon *定价的日志* CloudWatch 定价](https://aws.amazon.com//cloudwatch/pricing/#Vended_Logs)。