Erforderliche IAM-Berechtigungen zum Erstellen oder Arbeiten mit einer Datenschutzrichtlinie - CloudWatch Amazon-Protokolle
Für Datenschutzrichtlinien auf Kontoebene sind Berechtigungen erforderlichErforderliche Berechtigungen für Datenschutzrichtlinien für eine einzelne ProtokollgruppeBeispiel-Datenschutzrichtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erforderliche IAM-Berechtigungen zum Erstellen oder Arbeiten mit einer Datenschutzrichtlinie

Um mit Datenschutzrichtlinien für Protokollgruppen arbeiten zu können, müssen Sie über bestimmte Berechtigungen verfügen, die in den folgenden Tabellen aufgeführt sind. Die Berechtigungen unterscheiden sich für kontoweite Datenschutzrichtlinien und für Datenschutzrichtlinien, die für eine einzelne Protokollgruppe gelten.

Für Datenschutzrichtlinien auf Kontoebene sind Berechtigungen erforderlich

Anmerkung

Wenn Sie einen dieser Vorgänge innerhalb einer Lambda-Funktion ausführen, müssen die Lambda-Ausführungsrolle und die Berechtigungsgrenze auch die folgenden Berechtigungen enthalten.

Operation IAM-Berechtigung erforderlich Ressource

Erstellen einer Datenschutzrichtlinie ohne Audit-Ziele

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

Erstellen einer Datenschutzrichtlinie mit CloudWatch Logs als ein Audit-Ziel

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

logs:CreateLogDelivery

*

logs:PutResourcePolicy

*

logs:DescribeResourcePolicies

*

logs:DescribeLogGroups

*

Erstellen einer Datenschutzrichtlinie mit Firehose als ein Audit-Ziel

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

logs:CreateLogDelivery

*

firehose:TagDeliveryStream

arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM

Erstellen einer Datenschutzrichtlinie mit Amazon S3 als Audit-Ziel

logs:PutAccountPolicy

*

logs:PutDataProtectionPolicy

*

logs:CreateLogDelivery

*

s3:GetBucketPolicy

arn:aws:s3:::YOUR_BUCKET

s3:PutBucketPolicy

arn:aws:s3:::YOUR_BUCKET

Aufheben der Maskierung für Protokollereignisse in einer angegebenen Protokollgruppe

logs:Unmask

arn:aws:logs:::log-group:*

Anzeigen einer bestehenden Datenschutzrichtlinie

logs:GetDataProtectionPolicy

*

Löschen einer Datenschutzrichtlinie

logs:DeleteAccountPolicy

*

logs:DeleteDataProtectionPolicy

*

Wenn bereits Datenschutz-Auditprotokolle an ein Ziel gesendet werden, benötigen andere Richtlinien, die Protokolle an dasselbe Ziel senden, nur die Berechtigungen logs:PutDataProtectionPolicy und logs:CreateLogDelivery.

Erforderliche Berechtigungen für Datenschutzrichtlinien für eine einzelne Protokollgruppe

Anmerkung

Wenn Sie einen dieser Vorgänge innerhalb einer Lambda-Funktion ausführen, müssen die Lambda-Ausführungsrolle und die Berechtigungsgrenze auch die folgenden Berechtigungen enthalten.

Operation IAM-Berechtigung erforderlich Ressource

Erstellen einer Datenschutzrichtlinie ohne Audit-Ziele

logs:PutDataProtectionPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

Erstellen einer Datenschutzrichtlinie mit CloudWatch Logs als ein Audit-Ziel

logs:PutDataProtectionPolicy

logs:CreateLogDelivery

logs:PutResourcePolicy

logs:DescribeResourcePolicies

logs:DescribeLogGroups

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

*

*

*

*

Erstellen einer Datenschutzrichtlinie mit Firehose als ein Audit-Ziel

logs:PutDataProtectionPolicy

logs:CreateLogDelivery

firehose:TagDeliveryStream

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

*

arn:aws:logs:::deliverystream/YOUR_DELIVERY_STREAM

Erstellen einer Datenschutzrichtlinie mit Amazon S3 als ein Audit-Ziel

logs:PutDataProtectionPolicy

logs:CreateLogDelivery

s3:GetBucketPolicy

s3:PutBucketPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

*

arn:aws:s3:::YOUR_BUCKET

arn:aws:s3:::YOUR_BUCKET

Entfernen von Maskierungen bei Protokollereignissen

logs:Unmask

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

Eine bestehende Datenschutzrichtlinie ansehen

logs:GetDataProtectionPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

Löschen einer Datenschutzrichtlinie

logs:DeleteDataProtectionPolicy

arn:aws:logs:::log-group:YOUR_LOG_GROUP:*

Wenn bereits Datenschutz-Auditprotokolle an ein Ziel gesendet werden, benötigen andere Richtlinien, die Protokolle an dasselbe Ziel senden, nur die Berechtigungen logs:PutDataProtectionPolicy und logs:CreateLogDelivery.

Beispiel-Datenschutzrichtlinie

Die folgende Beispielrichtlinie ermöglicht es einem Benutzer, Datenschutzrichtlinien zu erstellen, anzuzeigen und zu löschen, die Audit-Ergebnisse an alle drei Arten von Audit-Zielen senden können. Es erlaubt dem Benutzer nicht, unmaskierte Daten einzusehen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "YOUR_SID_1",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies"
            ],
            "Resource": "*"
        },
        {
            "Sid": "YOUR_SID_2",
            "Effect": "Allow",
            "Action": [
                "logs:GetDataProtectionPolicy",
                "logs:DeleteDataProtectionPolicy",
                "logs:PutDataProtectionPolicy",
                "s3:PutBucketPolicy",
                "firehose:TagDeliveryStream",
                "s3:GetBucketPolicy"
            ],
            "Resource": [
                "arn:aws:firehose:::deliverystream/YOUR_DELIVERY_STREAM",
                "arn:aws:s3:::YOUR_BUCKET",
                "arn:aws:logs:::log-group:YOUR_LOG_GROUP:*"
            ]
        }
    ]
}