本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 CloudWatch 日志 CloudTrail 进行监控的角色策略文档
本节介绍 CloudTrail 角色向 Log CloudWatch s 发送日志事件所需的权限策略。在配置为发送事件时,可以将策略文档附加 CloudTrail 到角色,如中所述将事件发送到 CloudWatch 日志。您也可以使用创建角色IAM。有关更多信息,请参阅创建角色以向某人委派权限 AWS 服务或创建IAM角色 (AWS CLI)。
以下示例策略文档包含在您指定的日志组中创建 CloudWatch 日志流以及将 CloudTrail 事件传送到美国东部(俄亥俄州)地区的日志流所需的权限。(这是默认IAM角色的默认策略CloudTrail_CloudWatchLogs_Role。)
注意
防混淆副手不适用于 CloudWatch 日志监控的角色策略。角色策略不支持使用aws:SourceArn和aws:SourceAccount。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] } ] }
如果您要创建可能用于组织跟踪记录的策略,则需要根据为该角色创建的默认策略对其进行修改。例如,以下策略授予 CloudTrail 在您指定为值的 CloudWatch 日志组中创建日志日志流所需的权限 log_group_name,并将账户 111111111111 中的两个跟踪和在 111111111111 AWS 账户中创建的应用于 ID 为的组织的组织跟踪 CloudTrail的事件传送到该日志流 AWS Organizations o-exampleorgid:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*" ] } ] }
有关组织跟踪记录的更多信息,请参阅为组织创建跟踪。
