本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 CloudWatch 記錄進行監視 CloudTrail 的角色原則文件
本節說明將記錄事件傳送至 CloudWatch 記錄檔之 CloudTrail 角色所需的權限原則。當您設定傳送事件時,您可以將原則文件附加 CloudTrail 至角色,如中所述將事件傳送至 CloudWatch 記錄檔。您也可以使用建立角色IAM。如需詳細資訊,請參閱建立角色以委派權限給某個角色 AWS 服務或建立IAM角色 (AWS CLI)。
下列範例原則文件包含在您指定的記錄群組中建立 CloudWatch 記錄資料流所需的權限,以及將 CloudTrail 事件傳遞至美國東部 (俄亥俄) 區域的該記錄資料流所需的權限。(這是預設IAM角色的預設原則CloudTrail_CloudWatchLogs_Role。)
注意
混淆副預防不適用於 CloudWatch 記錄監視的角色策略。角色原則不支援使用aws:SourceArn和aws:SourceAccount。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] } ] }
如果您建立可能也會用於組織線索的政策,則您將需要從該角色原已建的預設政策中開始修改。例如,下列原則會授與 CloudTrail 在您指定為值的 CloudWatch 記錄群組中建立記錄資料流所需的權限 log_group_name,並針對帳戶 111111111111 中的兩個追蹤,以及在 111111111111 AWS 帳戶中建立的組織追蹤 (識別碼為),將 CloudTrail事件傳遞至該記錄串流 AWS Organizations o-exampleorgid:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*" ] } ] }
如需組織線索的詳細資訊,請參閱建立組織追蹤。
