Hinweis zum Ende des Supports: Am 31. März 2027 AWS wird der Support für Amazon WorkMail eingestellt. Nach dem 31. März 2027 können Sie nicht mehr auf die WorkMail Amazon-Konsole oder WorkMail Amazon-Ressourcen zugreifen. Weitere Informationen finden Sie unter [ WorkMail Ende des Supports von Amazon](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Aktivieren der Prüfprotokollierung
Sie können Audit-Logs verwenden, um detaillierte Informationen über die Nutzung Ihrer WorkMail Amazon-Organisation zu erfassen. Die Auditprotokolle können verwendet werden, um den Zugriff von Benutzern auf Postfächer zu überwachen, nach verdächtigen Aktivitäten zu suchen und Konfigurationen von Zugriffskontrollen und Verfügbarkeitsanbietern zu debuggen.
**Anmerkung**
Die *AmazonWorkMailFullAccess*verwaltete Richtlinie umfasst nicht alle erforderlichen Berechtigungen für die Verwaltung von Protokollzustellungen. Wenn Sie diese Richtlinie zur Verwaltung verwenden WorkMail, stellen Sie sicher, dass der für die Konfiguration der Protokollzustellungen verwendete Prinzipal (z. B. die angenommene Rolle) auch über alle erforderlichen Berechtigungen verfügt.
Amazon WorkMail unterstützt drei Lieferziele für Audit-Logs: CloudWatch Logs, Amazon S3 und Amazon Data Firehose. Weitere Informationen finden Sie unter [Protokollierung, für die zusätzliche Berechtigungen erforderlich sind [V2]](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html) im *[Amazon CloudWatch Logs-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*.
Zusätzlich zu den unter [Protokollierung, für die zusätzliche Berechtigungen erforderlich sind [V2] aufgeführten Berechtigungen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html) WorkMail benötigt Amazon eine zusätzliche Berechtigung, um die Protokollzustellung zu konfigurieren:`workmail:AllowVendedLogDeliveryForResource`.
Eine funktionierende Protokollzustellung besteht aus drei Elementen:
+ *DeliverySource*, ein logisches Objekt, das die Ressource oder Ressourcen darstellt, die die Protokolle senden. Für Amazon WorkMail ist es die WorkMail Amazon-Organisation.
+ A *DeliveryDestination*, ein logisches Objekt, das das tatsächliche Lieferziel darstellt.
+ Eine *Lieferung*, die eine Zustellungsquelle mit einem Lieferziel verbindet.
Um die Protokollzustellung zwischen Amazon WorkMail und einem Ziel zu konfigurieren, können Sie wie folgt vorgehen:
+ Erstellen Sie eine Lieferquelle mit [PutDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html).
+ Erstellen Sie ein Lieferziel mit [PutDeliveryDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestination.html).
+ Wenn Sie Logs kontoübergreifend versenden, müssen Sie [PutDeliveryDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestinationPolicy.html)im Zielkonto angeben, dass dem Ziel eine IAM-Richtlinie zugewiesen wird. Diese Richtlinie autorisiert die Erstellung einer Lieferung von der Lieferquelle in Konto A zum Lieferziel in Konto B.
+ Erstellen Sie eine Lieferung, indem Sie genau eine Lieferquelle und ein Lieferziel verknüpfen, indem Sie. [CreateDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateDelivery.html)
In den folgenden Abschnitten finden Sie Einzelheiten zu den Berechtigungen, über die Sie verfügen müssen, wenn Sie angemeldet sind, um die Protokollzustellung an die einzelnen Zieltypen einzurichten. Diese Berechtigungen können einer IAM-Rolle gewährt werden, mit der Sie angemeldet sind.
**Wichtig**
Es liegt in Ihrer Verantwortung, Ressourcen für die Protokollzustellung zu entfernen, nachdem Sie die Ressource gelöscht haben, die das Protokoll generiert hat.
Gehen Sie wie folgt vor, um Ressourcen für die Protokollübermittlung zu entfernen, nachdem Sie die Ressource gelöscht haben, die das Protokoll generiert hat.
1. Löschen Sie die *Lieferung* mithilfe des Vorgangs [DeleteDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDelivery.html).
1. Löschen Sie die *DeliverySource*mithilfe der [DeleteDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDeliverySource.html)Operation.
1. Wenn das mit dem *DeliverySource*, was Sie gerade gelöscht haben, *DeliveryDestination*verknüpft ist, nur für dieses spezielle *DeliverySource*Objekt verwendet wird, können Sie es mithilfe des [DeleteDeliveryDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDeliveryDestinations.html)Vorgangs entfernen.
## Konfiguration der Audit-Protokollierung mit der WorkMail Amazon-Konsole
Sie können die Audit-Protokollierung in der WorkMail Amazon-Konsole konfigurieren:
1. Öffnen Sie die WorkMail Amazon-Konsole unter [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Ändern Sie gegebenenfalls die AWS Region. Öffnen Sie in der Leiste oben im Konsolenfenster die Liste **Region auswählen** und wählen Sie eine Region aus. For more information, see [Regions and endpoints](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) in the *Allgemeine Amazon Web Services-Referenz*.
1. Wählen Sie im Navigationsbereich **Organizations** und dann den Namen Ihrer Organisation aus.
1. Wählen Sie **Protokollierungseinstellungen** aus.
1. Wählen Sie den Tab **Audit-Log-Einstellungen**.
1. Konfigurieren Sie mithilfe des entsprechenden Widgets Lieferungen für den erforderlichen Protokolltyp.
1. Wählen Sie **Speichern**.
## An Logs gesendete CloudWatch Protokolle
**Benutzerberechtigungen**
Um das Senden von Protokollen an CloudWatch Logs zu ermöglichen, müssen Sie mit den folgenden Berechtigungen angemeldet sein.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery"
],
"Resource": [
"arn:aws:logs:{{us-east-1}}:{{{{111122223333}}}}:delivery:*",
"arn:aws:logs:{{us-east-1}}:{{{{111122223333}}}}:delivery-source:*",
"arn:aws:logs:{{us-east-1}}:{{{{111122223333}}}}:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyCWL",
"Effect": "Allow",
"Action": [
"logs:PutResourcePolicy",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:{{us-east-1}}:{{{{111122223333}}}}:*"
]
},
{
"Sid": "AllowLogDeliveryForWorkMail",
"Effect": "Allow",
"Action": [
"workmail:AllowVendedLogDeliveryForResource"
],
"Resource": [
"arn:aws:workmail:{{us-east-1}}:{{{{111122223333}}}}:organization/{{organization-id}}"
]
}
]
}
```
------
**Protokollgruppe und Ressourcenrichtlinie**
Die Protokollgruppe, an die die Protokolle gesendet werden, muss über eine Ressourcenrichtlinie verfügen, die bestimmte Berechtigungen enthält. Wenn die Protokollgruppe derzeit keine Ressourcenrichtlinie hat und der Benutzer, der die Protokollierung einrichtet, über die `logs:DescribeLogGroups` Berechtigungen `logs:PutResourcePolicy``logs:DescribeResourcePolicies`, und für die Protokollgruppe verfügt, erstellt er AWS automatisch die folgende Richtlinie für diese Gruppe, wenn Sie beginnen, die Protokolle an Logs zu CloudWatch senden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:my-log-group:log-stream:*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"{{111122223333}}"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:*"
]
}
}
}
]
}
```
------
**Überlegungen zur Größenbeschränkung der Protokollgruppen-Ressourcenrichtlinie**
Diese Dienste müssen jede Protokollgruppe, an die sie Protokolle senden, in der Ressourcenrichtlinie auflisten. CloudWatch Die Ressourcenrichtlinien für Protokolle sind auf 5.120 Zeichen begrenzt. Ein Dienst, der Protokolle an eine große Anzahl von Protokollgruppen sendet, stößt möglicherweise auf dieses Limit.
Um dies zu verringern, überwacht CloudWatch Logs den Umfang der Ressourcenrichtlinien, die von dem Dienst verwendet werden, der Protokolle sendet. Wenn Logs feststellt, dass sich eine Richtlinie der Größenbeschränkung von 5.120 Zeichen nähert, aktiviert CloudWatch `/aws/vendedlogs/*` Logs automatisch die Ressourcenrichtlinie für diesen Dienst. Sie können dann anfangen, Protokollgruppen als Ziele für Protokolle aus diesen Services zu verwenden, deren Namen mit `/aws/vendedlogs/` beginnt.
## An Amazon S3 gesendete Protokolle
**Benutzerberechtigungen**
Um das Senden von Protokollen an Amazon S3 zu aktivieren, müssen Sie mit den folgenden Berechtigungen angemeldet sein.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery"
],
"Resource": [
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:delivery:*",
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:delivery-source:*",
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyS3",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::{{bucket-name}}"
},
{
"Sid": "AllowLogDeliveryForWorkMail",
"Effect": "Allow",
"Action": [
"workmail:AllowVendedLogDeliveryForResource"
],
"Resource": [
"arn:aws:workmail:{{us-east-1}}:{{111122223333}}:organization/{{organization-id}}"
]
}
]
}
```
------
Der S3-Bucket, an den die Protokolle gesendet werden, muss über eine Ressourcenrichtlinie verfügen, die bestimmte Berechtigungen enthält. Wenn der Bucket derzeit keine Ressourcenrichtlinie hat und der Benutzer, der die Protokollierung einrichtet, über die `S3:GetBucketPolicy` und `S3:PutBucketPolicy` -Berechtigungen für den Bucket verfügt, erstellt er AWS automatisch die folgende Richtlinie dafür, wenn Sie beginnen, die Protokolle an Amazon S3 zu senden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "AWSLogDeliveryWrite20150319",
"Statement": [
{
"Sid": "AWSLogDeliveryAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::my-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"{{123456789012}}"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:delivery-source:*"
]
}
}
},
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::my-bucket/AWSLogs/{{111122223333}}/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"{{123456789012}}"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:delivery-source:*"
]
}
}
}
]
}
```
------
Geben Sie in der vorherigen Richtlinie für `aws:SourceAccount` die Liste der Konten an, IDs für die Protokolle an diesen Bucket übermittelt werden. Geben Sie für `aws:SourceArn` die Liste ARNs der Ressource, die die Protokolle generiert, im folgenden Formular an`arn:aws:logs:{{source-region}}:{{source-account-id}}:*`.
Wenn der Bucket über eine Ressourcenrichtlinie verfügt, diese Richtlinie jedoch nicht die in der vorherigen Richtlinie gezeigte Anweisung enthält und der Benutzer, der die Protokollierung einrichtet, über die `S3:PutBucketPolicy` Berechtigungen `S3:GetBucketPolicy` und für den Bucket verfügt, wird diese Anweisung an die Ressourcenrichtlinie des Buckets angehängt.
**Anmerkung**
In einigen Fällen werden möglicherweise `AccessDenied` Fehler angezeigt, AWS CloudTrail wenn die `s3:ListBucket` Berechtigung nicht erteilt wurde. `delivery.logs.amazonaws.com` Um diese Fehler in Ihren CloudTrail Protokollen zu vermeiden, müssen Sie dem die `s3:ListBucket` Erlaubnis erteilen`delivery.logs.amazonaws.com`. Sie müssen auch die `Condition` Parameter angeben, die zusammen mit dem in der vorherigen Bucket-Richtlinie festgelegten `s3:GetBucketAcl` Berechtigungssatz angezeigt werden. Um dies zu vereinfachen, können Sie das Objekt direkt aktualisieren`Statement`, anstatt ein neues `AWSLogDeliveryAclCheck` zu `“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]` erstellen.
### Serverseitige Verschlüsselung im Amazon-S3-Bucket
Sie können die Daten in Ihrem Amazon S3 S3-Bucket schützen, indem Sie entweder die serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) oder die serverseitige Verschlüsselung mit einem in (SSE-KMS) gespeicherten AWS KMS Schlüssel aktivieren. AWS Key Management Service Weitere Informationen finden Sie unter [Schützen von Daten mithilfe serverseitiger Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html).
Wenn Sie SSE-S3 wählen, ist keine zusätzliche Konfiguration erforderlich. Amazon S3 verarbeitet den Verschlüsselungsschlüssel.
**Warnung**
Wenn Sie SSE-KMS wählen, müssen Sie einen vom Kunden verwalteten Schlüssel verwenden, da die Verwendung eines in diesem Szenario nicht unterstützt wird. Von AWS verwalteter Schlüssel Wenn Sie die Verschlüsselung mit einem AWS verwalteten Schlüssel einrichten, werden die Protokolle in einem unlesbaren Format übermittelt.
Wenn Sie einen vom Kunden verwalteten AWS KMS Schlüssel verwenden, können Sie den Amazon-Ressourcennamen (ARN) des vom Kunden verwalteten Schlüssels angeben, wenn Sie die Bucket-Verschlüsselung aktivieren. Fügen Sie Folgendes zur Schlüsselrichtlinie für Ihren vom Kunden verwalteten Schlüssel hinzu (nicht zur Bucket-Richtlinie für Ihren S3-Bucket), damit das Konto für die Protokollzustellung in Ihren S3-Bucket schreiben kann.
Wenn Sie SSE-KMS wählen, müssen Sie einen vom Kunden verwalteten Schlüssel verwenden, da die Verwendung eines AWS verwalteten Schlüssels in diesem Szenario nicht unterstützt wird. Wenn Sie einen vom Kunden verwalteten AWS KMS Schlüssel verwenden, können Sie den Amazon-Ressourcennamen (ARN) des vom Kunden verwalteten Schlüssels angeben, wenn Sie die Bucket-Verschlüsselung aktivieren. Fügen Sie Folgendes zur Schlüsselrichtlinie für Ihren vom Kunden verwalteten Schlüssel hinzu (nicht zur Bucket-Richtlinie für Ihren S3-Bucket), damit das Konto für die Protokollzustellung in Ihren S3-Bucket schreiben kann.
```
{
"Sid":"Allow Logs Delivery to use the key",
"Effect":"Allow",
"Principal":{
"Service":[
"delivery.logs.amazonaws.com"
]
},
"Action":[
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:SourceAccount":[
"{{account-id}}"
]
},
"ArnLike":{
"aws:SourceArn":[
"arn:aws:logs:{{region}}:{{account-id}}:delivery-source:*"
]
}
}
}
```
Geben Sie für `aws:SourceAccount` die Liste der Konten an, IDs für die Protokolle an diesen Bucket gesendet werden. Geben Sie für `aws:SourceArn` die Liste ARNs der Ressource, die die Protokolle generiert, im folgenden Formular an`arn:aws:logs:{{source-region}}:{{source-account-id}}:*`.
## An Firehose gesendete Logs
**Benutzerberechtigungen**
Um das Senden von Protokollen an Firehose zu ermöglichen, müssen Sie mit den folgenden Berechtigungen angemeldet sein.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery"
],
"Resource": [
"arn:aws:logs:{{us-east-1}}:{{{{111122223333}}}}:delivery:*",
"arn:aws:logs:{{us-east-1}}:{{{{111122223333}}}}:delivery-source:*",
"arn:aws:logs:{{us-east-1}}:{{{{111122223333}}}}:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeLogGroups"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyFH",
"Effect": "Allow",
"Action": [
"firehose:TagDeliveryStream"
],
"Resource": [
"arn:aws:firehose:{{us-east-1}}:{{{{111122223333}}}}:deliverystream/*"
]
},
{
"Sid": "CreateServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::{{111122223333}}:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery"
},
{
"Sid": "AllowLogDeliveryForWorkMail",
"Effect": "Allow",
"Action": [
"workmail:AllowVendedLogDeliveryForResource"
],
"Resource": [
"arn:aws:workmail:{{us-east-1}}:{{{{111122223333}}}}:organization/{{organization-id}}"
]
}
]
}
```
------
**IAM-Rollen, die für Ressourcenberechtigungen verwendet werden**
Da Firehose keine Ressourcenrichtlinien AWS verwendet, verwendet es IAM-Rollen bei der Einrichtung dieser Protokolle, die an Firehose gesendet werden sollen. AWS erstellt eine dienstverknüpfte Rolle mit dem Namen. **AWSServiceRoleForLogDelivery** Diese serviceverknüpfte Rolle umfasst die folgenden Berechtigungen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:ListTagsForDeliveryStream"
],
"Resource": "arn:aws:firehose:{{us-east-1}}:{{111122223333}}:deliverystream/workmail-*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/LogDeliveryEnabled": "true"
}
},
"Effect": "Allow"
}
]
}
```
------
Diese dienstbezogene Rolle gewährt Berechtigungen für alle Firehose-Lieferdatenströme, für die das `LogDeliveryEnabled` Tag auf gesetzt ist. `true` AWS weist dieses Tag dem Ziel-Lieferstream zu, wenn Sie die Protokollierung einrichten.
Diese serviceverknüpfte Rolle verfügt auch über eine Vertrauensrichtlinie, die es dem `delivery.logs.amazonaws.com`-Service-Prinzipal erlaubt, die erforderliche serviceverknüpfte Rolle zu übernehmen. Diese Vertrauensrichtlinie lautet wie folgt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## Konsolenspezifische Berechtigungen
Wenn Sie die Protokollzustellung über die Konsole statt über die einrichten, benötigen Sie zusätzlich zu den in den APIs vorherigen Abschnitten aufgeführten Berechtigungen auch die folgenden Berechtigungen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLogDeliveryActions",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:*",
"arn:aws:firehose:{{us-east-1}}:{{111122223333}}:deliverystream/*",
"arn:aws:s3:::*"
]
},
{
"Sid": "ListAccessForDeliveryDestinations",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"firehose:ListDeliveryStreams",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
]
}
```
------