CloudTrail 使用 CloudWatch Logs 监控日志的角色策略文档 - AWS CloudTrail
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

CloudTrail 使用 CloudWatch Logs 监控日志的角色策略文档

此部分介绍 CloudTrail 角色将日志事件发送到 CloudWatch Logs 所需的信任策略。在配置 CloudTrail 以发送事件时,您可以将策略文档附加到角色,如将事件发送到 CloudWatch Logs。您也可以使用 IAM 创建角色。有关更多信息,请参阅为 AWS 服务创建角色(AWS 管理控制台)创建角色(CLI 和 API)

以下示例策略文档包含在美国东部(俄亥俄州)区域,在指定的日志组中创建 CloudWatch 日志流并将 CloudTrail 事件传输到该日志流所需的权限。(这是适用于默认 IAM 角色 CloudTrail_CloudWatchLogs_Role 的默认策略。)

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] } ] }

如果您要创建可能用于组织跟踪的策略,则需要根据为该角色创建的默认策略对其进行修改。例如,以下策略将向 CloudTrail 授予必要的权限,以在指定的日志组中创建 CloudWatch Logs 日志流。log_group_name,并为 AWS 账户 111111111111 中的两个跟踪以及在 1111111111 账户中创建的组织跟踪传送 CloudTrail 事件到该日志流,这些跟踪应用于 AWS Organizations 的 ID 为o. 示例

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:o-exampleorgid_*" ] } ] }

有关组织跟踪的更多信息,请参阅为组织创建跟踪