Documento de política de roles para que CloudTrail utilice CloudWatch Logs para el monitoreo. - AWS CloudTrail

Documento de política de roles para que CloudTrail utilice CloudWatch Logs para el monitoreo.

Esta sección describe la política de permisos necesaria para que el rol de CloudTrail envíe eventos de registro a CloudWatch Logs. Puede adjuntar un documento de políticas a un rol cuando configure CloudTrail para enviar eventos, como se describe en Envío de eventos a Amazon CloudWatch Logs. También puede crear un rol con IAM. Para obtener más información, consulte Crear un rol para delegar permisos a un Servicio de AWS o Crear un rol de IAM (AWS CLI).

El siguiente ejemplo de documento de políticas contiene los permisos necesarios para crear un flujo de registro de CloudWatch en el grupo de registro que especifique y para enviar eventos de CloudTrail a dicho flujo de registro en la región Este de EE. UU. (Ohio). (Esta es la política predeterminada para el rol de IAM predeterminado ). CloudTrail_CloudWatchLogs_Role.)

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream2014110",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
            ]
        }
    ]
}

Si va a crear una política que también se puede utilizar para los registros de seguimiento de organización, deberá modificarla a partir la política predeterminada creada para el rol. Por ejemplo, la siguiente política concede a CloudTrail los permisos necesarios para crear una secuencia de registros de CloudWatch Logs en el grupo de registros que especifique como el valor log_group_name y para enviar eventos de CloudTrail a esa secuencia de registros tanto para los registros de seguimiento en la cuenta 111111111111 de AWS como para los registros de seguimiento de organización creados en la cuenta 111111111111 que se aplican a la organización de AWS Organizations con el ID de o-exampleorgid:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}

Para obtener más información acerca de los registros de seguimiento de organización, consulte Creación de un registro de seguimiento para una organización.