帳戶層級資料保護政策所需的許可單一日誌群組之資料保護政策所需的許可資料保護政策範例

IAM建立或使用資料保護原則所需的權限

若要能夠使用日誌群組的資料保護政策，您必須具有下表所示的特定許可。帳戶層級的資料保護政策和套用至單一日誌群組的資料保護政策的許可有所不同。

帳戶層級資料保護政策所需的許可

注意

如果您要在 Lambda 函數內執行這些作業，Lambda 執行角色和許可界限也必須包含下列許可。

作業	IAM需要許可	資源
建立不具有稽核目的地的資料保護政策	`logs:PutAccountPolicy`	`*`
建立不具有稽核目的地的資料保護政策	`logs:PutDataProtectionPolicy`	`*`
使用 CloudWatch 記錄檔做為稽核目標建立資料保護策略	`logs:PutAccountPolicy`	`*`
	`logs:PutDataProtectionPolicy`	`*`
	`logs:CreateLogDelivery`	`*`
	`logs:PutResourcePolicy`	`*`
	`logs:DescribeResourcePolicies`	`*`
	`logs:DescribeLogGroups`	`*`
使用 Firehose 作為稽核目標建立資料保護政策	`logs:PutAccountPolicy`	`*`
	`logs:PutDataProtectionPolicy`	`*`
	`logs:CreateLogDelivery`	`*`
	`firehose:TagDeliveryStream`	`arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM`
建立以 Amazon S3 為稽核目的地的資料保護政策	`logs:PutAccountPolicy`	`*`
	`logs:PutDataProtectionPolicy`	`*`
	`logs:CreateLogDelivery`	`*`
	`s3:GetBucketPolicy`	`arn:aws:s3:::YOUR_BUCKET`
	`s3:PutBucketPolicy`	`arn:aws:s3:::YOUR_BUCKET`
取消遮罩指定日誌群組中的遮罩日誌事件	`logs:Unmask`	`arn:aws:logs:::log-group:*`
檢視現有的資料保護政策	`logs:GetDataProtectionPolicy`	`*`
刪除資料保護政策	`logs:DeleteAccountPolicy`	`*`
刪除資料保護政策	`logs:DeleteDataProtectionPolicy`	`*`

如果有任何資料保護稽核日誌已傳送至目的地，則也將日誌傳送至相同目的地的其他策略僅需要 logs:PutDataProtectionPolicy 和 logs:CreateLogDelivery 許可。

單一日誌群組之資料保護政策所需的許可

注意

如果您要在 Lambda 函數內執行這些作業，Lambda 執行角色和許可界限也必須包含下列許可。

作業	IAM需要許可	資源
建立不具有稽核目的地的資料保護政策	`logs:PutDataProtectionPolicy`	`arn:aws:logs:::log-group:YOUR_LOG_GROUP:*`
使用 CloudWatch 記錄檔做為稽核目標建立資料保護策略	`logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `logs:PutResourcePolicy` `logs:DescribeResourcePolicies` `logs:DescribeLogGroups`	`arn:aws:logs:::log-group:YOUR_LOG_GROUP:` `` `` `` `*`
使用 Firehose 作為稽核目標建立資料保護政策	`logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `firehose:TagDeliveryStream`	`arn:aws:logs:::log-group:YOUR_LOG_GROUP:` `` `arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM`
建立以 Amazon S3 為稽核目的地的資料保護政策	`logs:PutDataProtectionPolicy` `logs:CreateLogDelivery` `s3:GetBucketPolicy` `s3:PutBucketPolicy`	`arn:aws:logs:::log-group:YOUR_LOG_GROUP:` `` `arn:aws:s3:::YOUR_BUCKET` `arn:aws:s3:::YOUR_BUCKET`
取消遮罩已遮罩的日誌事件	`logs:Unmask`	`arn:aws:logs:::log-group:YOUR_LOG_GROUP:*`
檢視現有的資料保護政策	`logs:GetDataProtectionPolicy`	`arn:aws:logs:::log-group:YOUR_LOG_GROUP:*`
刪除資料保護政策	`logs:DeleteDataProtectionPolicy`	`arn:aws:logs:::log-group:YOUR_LOG_GROUP:*`

如果有任何資料保護稽核日誌已傳送至目的地，則也將日誌傳送至相同目的地的其他策略僅需要 logs:PutDataProtectionPolicy 和 logs:CreateLogDelivery 許可。

資料保護政策範例

下列政策範例可讓使用者建立、檢視及刪除資料保護政策，這些政策可將稽核調查結果傳送至全部三種稽核目的地類型。它不允許使用者檢視未遮罩的資料。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "YOUR_SID_1",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "YOUR_SID_2",
            "Effect": "Allow",
            "Action": [
                "logs:GetDataProtectionPolicy",
                "logs:DeleteDataProtectionPolicy",
                "logs:PutDataProtectionPolicy",
                "s3:PutBucketPolicy",
                "firehose:TagDeliveryStream",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
                "arn:aws:firehose:::deliverystream/YOUR_DELIVERY_STREAM",
                "arn:aws:s3:::YOUR_BUCKET",
                "arn:aws:logs:::log-group:YOUR_LOG_GROUP:*"
            ]
        }
    ]
}

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

了解資料保護政策

建立帳戶層級資料保護政策