本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
与 CloudTrail 使用 CloudWatch Logs 进行监控对应的角色策略文档
此部分介绍 CloudTrail 角色将日志事件发送到 CloudWatch Logs 所需的权限策略。您可以在将 CloudTrail 配置为发送事件时将策略文档附加到角色,如 将事件发送到 CloudWatch Logs 中所述。您也可以使用 IAM 创建角色。有关更多信息,请参阅创建向 AWS 服务 委派权限的角色或创建 IAM 角色(AWS CLI)。
以下示例策略文档包含在美国东部(俄亥俄州)区域在指定的日志组中创建 CloudWatch 日志流并将 CloudTrail 事件传输到该日志流所需的权限。(这是适用于默认 IAM 角色 CloudTrail_CloudWatchLogs_Role 的默认策略。)
注意
混淆代理预防不适用于 CloudWatch Logs 监控的角色策略。角色策略不支持使用 aws:SourceArn 和 aws:SourceAccount。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] } ] }
如果您要创建可能用于组织跟踪记录的策略,则需要根据为该角色创建的默认策略对其进行修改。例如,以下策略授予 CloudTrail 必需的权限,以在您指定为 log_group_name 值的日志组中创建 CloudWatch Logs 日志流,并将 CloudTrail 事件传输到 AWS 账户 111111111111 的跟踪记录的以及在 111111111111 账户中创建且应用于 ID 为 o-exampleorgid 的 AWS Organizations 组织的组织跟踪记录的该日志流:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*" ] } ] }
有关组织跟踪记录的更多信息,请参阅为组织创建跟踪。
