本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用主控台將日誌資料匯出至 Amazon S3
在以下範例中,您會使用 Amazon CloudWatch 主控台,從名為 `my-log-group` 的 Amazon CloudWatch Logs 日誌群組將所有資料匯出至名為 `amzn-s3-demo-bucket` 的 Amazon S3 儲存貯體。
支援將日誌資料匯出至由 SSE-KMS 加密的 S3 儲存貯體。不支援匯出至使用 DSSE-KMS 加密的儲存貯體。
如何設定匯出作業的詳細方法,取決於您要存放匯出資料的 Amazon S3 儲存貯體是否與要匯出的日誌位於同一帳戶。
**Topics**
+ [相同帳戶匯出 (主控台)](#ExportSingleAccount)
+ [跨帳戶匯出 (主控台)](#ExportCrossAccount)
## 相同帳戶匯出 (主控台)
如果 Amazon S3 儲存貯體與要匯出的日誌位於同一帳戶,請參閱本區段的說明。
**Topics**
+ [建立 Amazon S3 儲存貯體 (主控台)](#CreateS3BucketConsole)
+ [設定存取許可 (主控台)](#CreateIAMUser-With-S3-Access)
+ [設定 Amazon S3 儲存貯體的許可 (主控台)](#S3PermissionsConsole)
+ [(選用) 匯出至使用 SSE-KMS 加密的目的地 Amazon S3 儲存貯體 (主控台)](#S3-Export-KMSEncrypted)
+ [建立匯出任務 (主控台)](#CreateExportTaskConsole)
### 建立 Amazon S3 儲存貯體 (主控台)
我們建議您使用專為 CloudWatch Logs 建立的儲存貯體。不過,如果您想要使用現有的儲存貯體,您可以跳到步驟 2。
**注意**
Amazon S3 儲存貯體與您要匯出的日誌資料,必須位於相同的區域。CloudWatch Logs 不支援將資料匯出至不同區域中的 Amazon S3 儲存貯體。
**建立 Amazon S3 儲存貯體**
1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。
1. 如有必要請變更區域。從導覽列,選擇您的 CloudWatch Logs 所在的區域。
1. 選擇 **Create Bucket** (建立儲存貯體)。
1. 針對 **Bucket Name (儲存貯體名稱)**,輸入儲存貯體的名稱。
1. 針對 **Region** (區域),選取您的 CloudWatch Logs 資料所在的區域。
1. 選擇**建立**。
### 設定存取許可 (主控台)
若要建立匯出任務,您需要使用 IAM `AmazonS3ReadOnlyAccess` 角色和下列許可登入:
+ `logs:CreateExportTask`
+ `logs:CancelExportTask`
+ `logs:DescribeExportTasks`
+ `logs:DescribeLogStreams`
+ `logs:DescribeLogGroups`
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
### 設定 Amazon S3 儲存貯體的許可 (主控台)
根據預設,所有 Amazon S3 儲存貯體和物件皆為私有。只有建立儲存貯 AWS 帳戶 體的資源擁有者,才能存取儲存貯體及其包含的任何物件。不過,資源擁有者可藉由編寫存取政策,選擇將存取許可授予其他資源或使用者。
當您設定政策時,我們建議您包含隨機產生的字串做為儲存貯體的前綴,如此一來,只有適用的日誌串流才會匯出到儲存貯體。
**重要**
為了讓匯出至 Amazon S3 儲存貯體更安全,我們現在會要求您指定允許將日誌資料匯出至 S3 儲存貯體的來源帳戶清單。
在下列範例中,`aws:SourceAccount`金鑰中的帳戶 IDs 清單會是使用者可以將日誌資料匯出至 Amazon S3 儲存貯體的帳戶。`aws:SourceArn` 金鑰會是正在採取行動的資源。您可以將其限制為具體的日誌群組,或使用萬用字元,如本範例所示。
我們建議您也包含建立 S3 儲存貯體之帳戶的帳戶 ID,以允許在同一帳戶內匯出。
**設定 Amazon S3 儲存貯體的許可**
1. 在 Amazon S3 主控台中,選擇您建立的儲存貯體。
1. 選擇 **Permissions (許可)**、**Bucket policy (儲存貯體政策)**。
1. 在 **Bucket Policy Editor** (儲存貯體政策編輯器) 中,輸入下列政策。將 `amzn-s3-demo-bucket` 變更為 Amazon S3 儲存貯體的名稱。務必為**主體**指定正確的區域端點,例如 `us-west-1`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCloudWatchLogsGetBucketAcl",
"Action": "s3:GetBucketAcl",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Sid": "AllowCloudWatchLogsPutObject",
"Action": "s3:PutObject",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
}
]
}
```
------
1. 選擇 **Save** (儲存),將您剛才新增的政策設定為您儲存貯體上的存取政策。此政策可讓 CloudWatch Logs 將日誌資料匯出至您的 Amazon S3 儲存貯體。儲存貯體擁有者擁有所有匯出物件的完整許可。
**警告**
如果現有的儲存貯體已連接一個或多個政策,請新增陳述式讓 CloudWatch Logs 存取這個或這些政策。我們建議您評估所產生的一組許可,以確保它們適用於將存取儲存貯體的使用者。
### (選用) 匯出至使用 SSE-KMS 加密的目的地 Amazon S3 儲存貯體 (主控台)
只有在您匯出至使用伺服器端加密的 Amazon S3 儲存貯體時,才需要此步驟 AWS KMS keys。這種加密稱為 SSE-KMS。
**匯出至使用 SSE-KMS 加密的儲存貯體**
1. 在 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台。
1. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
1. 在左側導覽列中,選擇 **Customer managed keys** (客戶受管金鑰)。
選擇 **Create Key** (建立金鑰)。
1. 針對 **Key type (金鑰類型)**,請選擇 **Symmetric (對稱)**。
1. 在 **Key usage** (金鑰用途) 中,選擇 **Encrypt and decrypt** (加密與解密),然後選擇 **Next** (下一步)。
1. 在 **Add labels** (加入標示) 下,輸入金鑰的別名,並選擇是否新增說明或標籤。然後選擇**下一步**。
1. 在 **Key administrators** (金鑰管理員) 下,選取可管理此金鑰的人員,然後選擇 **Next** (下一步)。
1. 在 **Define key usage permissions** (定義金鑰用途許可) 下,不進行變更,然後選擇 **Next** (下一步)。
1. 檢閱設定,然後選擇 **Finish** (完成)。
1. 返回 **Customer managed keys** (客戶受管金鑰) 頁面,選擇您剛建立的金鑰名稱。
1. 選擇 **Key policy** (金鑰政策) 索引標籤,並選擇 **Switch to policy view** (切換至政策檢視)。
1. 在 **Key policy** (金鑰政策) 區段中,選擇 **Edit** (編輯)。
1. 將下列陳述式新增至金鑰政策陳述式清單。執行時,請將 *Region* 替換為日誌區域,並以所擁有 KMS 金鑰的帳戶 ARN 替換 *account-ARN*。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CWL Service Principal usage",
"Effect": "Allow",
"Principal": {
"Service": "logs.Region.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "account-ARN"
},
"Action": [
"kms:GetKeyPolicy*",
"kms:PutKeyPolicy*",
"kms:DescribeKey*",
"kms:CreateAlias*",
"kms:ScheduleKeyDeletion*",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
1. 選擇**儲存變更**。
1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。
1. 尋找您在 [建立 S3 儲存貯體 (CLI)](S3ExportTasks.md#CreateS3Bucket) 中建立的儲存貯體,選擇儲存貯體名稱。
1. 選擇**屬性**索引標籤。在 **Default encryption** (預設加密) 下,選擇 **Edit** (編輯)。
1. 在 **Server-side Encryption** (伺服器端加密) 下,選擇 **Enable** (啟用)。
1. 在 **Encryption type** (加密類型) 下,選擇 **AWS Key Management Service key (SSE-KMS)** ( 金鑰 (SSE-KMS))。
1. 選擇**從 AWS KMS 金鑰中選擇**,然後尋找您建立的金鑰。
1. 在 **Bucket Key** (儲存貯體金鑰) 下,選擇 **Enable** (啟用)。
1. 選擇**儲存變更**。
### 建立匯出任務 (主控台)
在此程序中,您會建立匯出任務,以從日誌群組匯出日誌。
**使用 CloudWatch 主控台將資料匯出至 Amazon S3**
1. 如 [設定存取許可 (主控台)](#CreateIAMUser-With-S3-Access) 中所示,以足夠的許可登入。
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在導覽窗格中,選擇 **Log groups** (日誌群組)。
1. 在 **Log Groups (日誌群組)** 畫面上,選擇日誌群組的名稱。
1. 選擇 **Actions** (動作)、**Export data to Amazon S3** (匯出資料至 Amazon S3)。
1. 在 **Export data to Amazon S3** (匯出資料至 Amazon S3) 畫面的 **Define data to export** (定義資料匯出) 下方,使用 **From** (從) 和 **To** (至) 設定所要匯出資料的時間範圍。
1. 如果您的日誌群組有多個日誌串流,您可以提供日誌串流前綴,將日誌群組資料限制於特定串流。選擇 **Advanced (進階)**,然後針對 **Stream prefix (串流前綴)**,輸入日誌串流前綴。
1. 在 **Choose S3 bucket** (選擇 S3 儲存貯體) 下,選擇與 S3 儲存貯體關聯的帳戶。
1. 為 **S3 bucket name** (S3 儲存貯體名稱) 選擇一個 &S3; 儲存貯體。
1. 針對 **S3 Bucket prefix (S3 儲存貯體前綴)**,輸入您在儲存貯體政策中指定的隨機產生字串。
1. 選擇 **Export** (匯出) 將您的日誌資料匯出至 Amazon S3。
1. 若要檢視您匯出至 Amazon S3 的日誌資料的狀態,請選擇 **Actions** (動作,然後選擇 **View all exports to Amazon S3** (檢視所有匯出至 Amazon S3 的項目)。
## 跨帳戶匯出 (主控台)
如果 Amazon S3 儲存貯體與要匯出的日誌位於不同帳戶,請參閱本區段的說明。
**Topics**
+ [建立跨帳戶匯出的 Amazon S3 儲存貯體 (主控台)](#CreateS3BucketConsole-crossaccount)
+ [設定跨帳戶匯出的存取許可 (主控台)](#CreateIAMUser-With-S3-Access-crossaccount)
+ [在 S3 儲存貯體上設定跨帳戶匯出的許可 (主控台)](#S3PermissionsConsole-crossaccount)
+ [(選用) 匯出至使用 SSE-KMS 加密的目的地 Amazon S3 儲存貯體以進行跨帳戶匯出 (主控台)](#S3-Export-KMSEncrypted-crossaccount)
+ [建立跨帳戶匯出的匯出任務 (主控台)](#CreateExportTaskConsole-crossaccount)
### 建立跨帳戶匯出的 Amazon S3 儲存貯體 (主控台)
我們建議您使用專為 CloudWatch Logs 建立的儲存貯體。不過,如果您想要使用現有的儲存貯體,可以略過此程序。
**注意**
Amazon S3 儲存貯體與您要匯出的日誌資料,必須位於相同的區域。CloudWatch Logs 不支援將資料匯出至不同區域中的 Amazon S3 儲存貯體。
**建立 Amazon S3 儲存貯體**
1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。
1. 如有必要請變更區域。從導覽列,選擇您的 CloudWatch Logs 所在的區域。
1. 選擇 **Create Bucket** (建立儲存貯體)。
1. 針對 **Bucket Name (儲存貯體名稱)**,輸入儲存貯體的名稱。
1. 針對 **Region** (區域),選取您的 CloudWatch Logs 資料所在的區域。
1. 選擇**建立**。
### 設定跨帳戶匯出的存取許可 (主控台)
首先,您必須建立新的 IAM 政策,讓 CloudWatch Logs 在目的地帳戶中擁有目的地 Amazon S3 儲存貯體`s3:PutObject`的動作。
除了 `s3:PutObject`動作之外,政策中包含的其他動作取決於目的地儲存貯體是否使用 AWS KMS 加密,或使用 [S3 物件擁有](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html)權設定啟用 ACLs。
+ 如果使用 KMS 加密,請新增金鑰資源的 `kms:GenerateDataKey`和 `kms:Decrypt`動作
+ 如果在儲存貯體上啟用 ACLs請新增儲存貯體資源`s3:PutObjectAcl`的動作
在下列政策中`amzn-s3-demo-bucket`,將 變更為目的地 S3 儲存貯體的名稱。
**若要建立 IAM 政策將日誌匯出至 Amazon S3 儲存貯體**
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在左側的導覽窗格中,選擇 **Policies (政策)**。
1. 選擇**建立政策**。
1. 在**政策編輯器**區段中,選擇 **JSON**。
1. 如果目的地儲存貯體不使用 AWS KMS 加密,請將下列政策貼入編輯器。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
如果目的地儲存貯體確實使用 AWS KMS 加密,請將下列政策貼入編輯器。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
如果已在目的地儲存貯體上啟用 ACLs,請在上述政策中將 s3:PutObjectAcl 新增至 s3:PutObject 動作區塊。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
1. 選擇**下一步**。
1. 輸入政策名稱。您會使用此名稱為您的 IAM 角色附加政策。
1. 選擇**建立政策**,儲存新政策。
若要建立匯出任務,您必須使用已連接 `AmazonS3ReadOnlyAccess`受管政策的 IAM 角色、上述建立的 IAM 政策,以及具有下列許可的 IAM 角色登入:
+ `logs:CreateExportTask`
+ `logs:CancelExportTask`
+ `logs:DescribeExportTasks`
+ `logs:DescribeLogStreams`
+ `logs:DescribeLogGroups`
若要提供存取權,請新增權限至您的使用者、群組或角色:
+ 中的使用者和群組 AWS IAM Identity Center:
建立權限合集。請按照《*AWS IAM Identity Center 使用者指南*》中的[建立權限合集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)說明進行操作。
+ 透過身分提供者在 IAM 中管理的使用者:
建立聯合身分的角色。遵循《*IAM 使用者指南*》的[為第三方身分提供者 (聯合) 建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)中的指示。
+ IAM 使用者:
+ 建立您的使用者可擔任的角色。請按照《*IAM 使用者指南*》的[為 IAM 使用者建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)中的指示。
+ (不建議) 將政策直接附加至使用者,或將使用者新增至使用者群組。請遵循《*IAM 使用者指南*》的[新增許可到使用者 (主控台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) 中的指示。
### 在 S3 儲存貯體上設定跨帳戶匯出的許可 (主控台)
依據預設,所有 S3 儲存貯體與物件皆為私有。只有建立儲存貯 AWS 帳戶 體的資源擁有者,才能存取儲存貯體及其包含的任何物件。不過,資源擁有者可藉由編寫存取政策,選擇將存取許可授予其他資源或使用者。
當您設定政策時,我們建議您包含隨機產生的字串做為儲存貯體的前綴,如此一來,只有適用的日誌串流才會匯出到儲存貯體。
**重要**
為了使匯出至 S3 儲存貯體更加安全,現在要求您指定允許將日誌資料匯出至 S3 儲存貯體的來源帳戶清單。
在下列範例中,`aws:SourceAccount`金鑰中的帳戶 IDs 清單會是使用者可以將日誌資料匯出至 S3 儲存貯體的帳戶。`aws:SourceArn` 金鑰會是正在採取行動的資源。您可以將其限制為具體的日誌群組,或使用萬用字元,如本範例所示。
我們建議您也包含建立 S3 儲存貯體之帳戶的帳戶 ID,以允許在同一帳戶內匯出。
**設定 Amazon S3 儲存貯體的許可**
1. 在 Amazon S3 主控台中,選擇您建立的儲存貯體。
1. 選擇 **Permissions (許可)**、**Bucket policy (儲存貯體政策)**。
1. 在 **Bucket Policy Editor** (儲存貯體政策編輯器) 中,輸入下列政策。將 `amzn-s3-demo-bucket` 變更為 Amazon S3 儲存貯體的名稱。務必為**主體**指定正確的區域端點,例如 `us-east-1`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "s3:GetBucketAcl",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Action": "s3:PutObject",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/role_name"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
1. 選擇 **Save** (儲存),將您剛才新增的政策設定為您儲存貯體上的存取政策。此政策可讓 CloudWatch Logs 將日誌資料匯出至您的 S3 儲存貯體。儲存貯體擁有者擁有所有匯出物件的完整許可。
**警告**
如果現有的儲存貯體已連接一個或多個政策,請新增陳述式讓 CloudWatch Logs 存取這個或這些政策。我們建議您評估所產生的一組許可,以確保它們適用於將存取儲存貯體的使用者。
### (選用) 匯出至使用 SSE-KMS 加密的目的地 Amazon S3 儲存貯體以進行跨帳戶匯出 (主控台)
只有在您匯出至使用伺服器端加密的 S3 儲存貯體時,才需要此程序 AWS KMS keys。這種加密稱為 SSE-KMS。
**匯出至使用 SSE-KMS 加密的儲存貯體**
1. 在 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台。
1. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
1. 在左側導覽列中,選擇 **Customer managed keys** (客戶受管金鑰)。
選擇 **Create Key** (建立金鑰)。
1. 針對 **Key type (金鑰類型)**,請選擇 **Symmetric (對稱)**。
1. 在 **Key usage** (金鑰用途) 中,選擇 **Encrypt and decrypt** (加密與解密),然後選擇 **Next** (下一步)。
1. 在 **Add labels** (加入標示) 下,輸入金鑰的別名,並選擇是否新增說明或標籤。然後選擇**下一步**。
1. 在 **Key administrators** (金鑰管理員) 下,選取可管理此金鑰的人員,然後選擇 **Next** (下一步)。
1. 在 **Define key usage permissions** (定義金鑰用途許可) 下,不進行變更,然後選擇 **Next** (下一步)。
1. 檢閱設定,然後選擇 **Finish** (完成)。
1. 返回 **Customer managed keys** (客戶受管金鑰) 頁面,選擇您剛建立的金鑰名稱。
1. 選擇 **Key policy** (金鑰政策) 索引標籤,並選擇 **Switch to policy view** (切換至政策檢視)。
1. 在 **Key policy** (金鑰政策) 區段中,選擇 **Edit** (編輯)。
1. 將下列陳述式新增至金鑰政策陳述式清單。當您這麼做時,請將 *us-east-1* 取代為日誌的區域,將 *account-ARN* 取代為擁有 KMS 金鑰的帳戶 ARN,將 *123456789012* 取代為擁有 KMS 金鑰的帳號,將*key\$1id* 取代**為用於建立匯出任務的角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CWL Service Principal usage",
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "account-ARN"
},
"Action": [
"kms:GetKeyPolicy*",
"kms:PutKeyPolicy*",
"kms:DescribeKey*",
"kms:CreateAlias*",
"kms:ScheduleKeyDeletion*",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM Role Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/role_name"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
1. 選擇**儲存變更**。
1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。
1. 尋找您在 [建立 S3 儲存貯體 (CLI)](S3ExportTasks.md#CreateS3Bucket) 中建立的儲存貯體,選擇儲存貯體名稱。
1. 選擇**屬性**索引標籤。在 **Default encryption** (預設加密) 下,選擇 **Edit** (編輯)。
1. 在 **Server-side Encryption** (伺服器端加密) 下,選擇 **Enable** (啟用)。
1. 在 **Encryption type** (加密類型) 下,選擇 **AWS Key Management Service key (SSE-KMS)** ( 金鑰 (SSE-KMS))。
1. 選擇**從 AWS KMS 金鑰中選擇**,然後尋找您建立的金鑰。
1. 在 **Bucket Key** (儲存貯體金鑰) 下,選擇 **Enable** (啟用)。
1. 選擇**儲存變更**。
### 建立跨帳戶匯出的匯出任務 (主控台)
在此程序中,您會建立匯出任務,以從日誌群組匯出日誌。
**使用 CloudWatch 主控台將資料匯出至 Amazon S3**
1. 如 [設定存取許可 (主控台)](#CreateIAMUser-With-S3-Access) 中所示,以足夠的許可登入。
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在導覽窗格中,選擇 **Log groups** (日誌群組)。
1. 在 **Log Groups (日誌群組)** 畫面上,選擇日誌群組的名稱。
1. 選擇 **Actions** (動作)、**Export data to Amazon S3** (匯出資料至 Amazon S3)。
1. 在 **Export data to Amazon S3** (匯出資料至 Amazon S3) 畫面的 **Define data to export** (定義資料匯出) 下方,使用 **From** (從) 和 **To** (至) 設定所要匯出資料的時間範圍。
1. 如果您的日誌群組有多個日誌串流,您可以提供日誌串流前綴,將日誌群組資料限制於特定串流。選擇 **Advanced (進階)**,然後針對 **Stream prefix (串流前綴)**,輸入日誌串流前綴。
1. 在 **Choose S3 bucket** (選擇 S3 儲存貯體) 下,選擇與 S3 儲存貯體關聯的帳戶。
1. 在 **S3 bucket name** (S3 儲存貯體名稱) 中,選擇一個 S3 儲存貯體。
1. 針對 **S3 Bucket prefix (S3 儲存貯體前綴)**,輸入您在儲存貯體政策中指定的隨機產生字串。
1. 選擇 **Export** (匯出) 將您的日誌資料匯出至 Amazon S3。
1. 若要檢視您匯出至 Amazon S3 的日誌資料的狀態,請選擇 **Actions** (動作,然後選擇 **View all exports to Amazon S3** (檢視所有匯出至 Amazon S3 的項目)。