Registros enviados a CloudWatch Logs - Amazon CloudWatch Logs

Registros enviados a CloudWatch Logs

importante

Cuando configura los tipos de registro en la siguiente lista para que se envíen a CloudWatch Logs, AWS crea o cambia las políticas de recursos asociadas con el grupo de registro que recibe los registros, si es necesario. Siga leyendo esta sección para ver los detalles.

Esta sección se aplica cuando se envían los tipos de registros enumerados en la tabla de la sección anterior a CloudWatch Logs:

Permisos de usuario

Para poder configurar el envío de cualquiera de estos tipos de registros a CloudWatch Logs por primera vez, debe iniciar sesión en una cuenta con los siguientes permisos.

  • logs:CreateLogDelivery

  • logs:PutResourcePolicy

  • logs:DescribeResourcePolicies

  • logs:DescribeLogGroups

    nota

    Cuando especifique el permiso logs:DescribeLogGroups, logs:DescribeResourcePolicies o logs:PutResourcePolicy, asegúrese de configurar el ARN de su línea Resource para que utilice un comodín *, en lugar de especificar solo un nombre de grupo de registro. Por ejemplo: ., "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"

Si alguno de estos tipos de registros ya se envía a un grupo de registro en CloudWatch Logs, entonces para configurar el envío de otro de estos tipos de registros a ese mismo grupo de registro, solo necesita el permiso logs:CreateLogDelivery.

Política de recursos del grupo de registro

El grupo de registro al que se envían los registros debe tener una política de recursos que incluya determinados permisos. Si el grupo de registro aún no tiene una política de recursos y el usuario que configura el registro tiene los permisos logs:PutResourcePolicy, logs:DescribeResourcePolicies y logs:DescribeLogGroups para el grupo de registro, AWS crea automáticamente la siguiente política cuando comienza a enviar los registros a CloudWatch Logs.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}

Si el grupo de registro tiene una política de recursos, pero esa política no contiene la instrucción que se muestra en la política anterior, y el usuario que configura el registro tiene los permisos logs:PutResourcePolicy, logs:DescribeResourcePolicies y logs:DescribeLogGroups para el grupo de registro, esa instrucción se anexa a la política de recursos del grupo de registro.