Berechtigungen, die für die Integration erforderlich sind - CloudWatch Amazon-Protokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen, die für die Integration erforderlich sind

Wenn Sie eine IAM-Rolle erstellen, die von der Integration verwendet werden soll, muss sie die folgenden Berechtigungen und Vertrauensrichtlinien enthalten, anstatt CloudWatch Logs die Erstellung der Rolle zu gestatten. Weitere Informationen zum Erstellen einer IAM-Rolle finden Sie unter Eine Rolle erstellen, um Berechtigungen an einen Dienst zu delegieren. AWS 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudWatchLogsAccess",
      "Effect": "Allow",
      "Action": [
        "logs:StartQuery",
        "logs:GetLogGroupFields",
        "logs:GetQueryResults"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "CloudWatchLogsDescribeLogGroupsAccess",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups"
      ],
      "Resource": "*"
    },
    {
        "Sid": "AmazonOpenSearchCollectionAccess",
        "Effect": "Allow",
        "Action": [
            "aoss:APIAccessAll"
        ],
        "Resource": "*",
        "Condition": {
            "StringLike": {
                "aoss:collection": "cloudwatch-logs-*"
            }
        }
    }
  ]
}

//Trust Policy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "TrustPolicyForAmazonOpenSearchDirectQueryService",
            "Effect": "Allow",
            "Principal": {
                "Service": "directquery.opensearchservice.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:opensearch:us-east-1:123456789012:datasource/cloudwatch_logs_*"
                }
            }
        }
    ]
}
Anmerkung

Die vorherige Rolle gewährt Lesezugriff aus allen Protokollgruppen im Konto, sodass Sie Dashboards für jedes Protokollkonto, einschließlich kontoübergreifender Protokollgruppen, erstellen können. Wenn Sie den Zugriff auf bestimmte Protokollgruppen einschränken und Dashboards nur für diese Protokollgruppen erstellen möchten, können Sie die erste Aussage in dieser Richtlinie wie folgt aktualisieren:

{
      "Sid": "CloudWatchLogsAccess",
      "Effect": "Allow",
      "Action": [
        "logs:StartQuery",
        "logs:GetLogGroupFields",
        "logs:GetQueryResults"
      ],
      "Resource": [
        "arn:aws:logs:us-east-1:123456789012:log-group:myLogGroup:*",
        "arn:aws:logs:us-east-1:123456789012:log-group:myLogGroup"
      ]
}