Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Izin IAM diperlukan untuk membuat atau bekerja dengan kebijakan perlindungan data
Agar dapat bekerja dengan kebijakan perlindungan data untuk grup log, Anda harus memiliki izin tertentu seperti yang ditunjukkan pada tabel berikut. Izin berbeda untuk kebijakan perlindungan data di seluruh akun dan untuk kebijakan perlindungan data yang berlaku untuk satu grup log.
## Izin diperlukan untuk kebijakan perlindungan data tingkat akun
**catatan**
Jika Anda melakukan salah satu operasi ini di dalam fungsi Lambda, peran eksekusi Lambda dan batas izin juga harus menyertakan izin berikut.
- ** **Membuat kebijakan perlindungan data tanpa tujuan audit** **
- **Izin IAM diperlukan:** `logs:PutAccountPolicy` / **Sumber daya:** `*`
- **Izin IAM diperlukan:** `logs:PutDataProtectionPolicy` / **Sumber daya:** `*`
- ** **Membuat kebijakan perlindungan data dengan CloudWatch Log sebagai tujuan audit** **
- **Izin IAM diperlukan:** `logs:PutAccountPolicy` / **Sumber daya:** `*`
- **Izin IAM diperlukan:** `logs:PutDataProtectionPolicy` / **Sumber daya:** `*`
- **Izin IAM diperlukan:** `logs:CreateLogDelivery` / **Sumber daya:** `*`
- **Izin IAM diperlukan:** `logs:PutResourcePolicy` / **Sumber daya:** `*`
- **Izin IAM diperlukan:** `logs:DescribeResourcePolicies` / **Sumber daya:** `*`
- **Izin IAM diperlukan:** `logs:DescribeLogGroups` / **Sumber daya:** `*`
- ** **Membuat kebijakan perlindungan data dengan Firehose sebagai tujuan audit** **
- **Izin IAM diperlukan:** `logs:PutAccountPolicy` / **Sumber daya:** `*`
- **Izin IAM diperlukan:** `logs:PutDataProtectionPolicy` / **Sumber daya:** `*`
- **Izin IAM diperlukan:** `logs:CreateLogDelivery` / **Sumber daya:** `*`
- **Izin IAM diperlukan:** `firehose:TagDeliveryStream` / **Sumber daya:** `arn:aws:logs:::deliverystream/{{YOUR_DELIVERY_STREAM}}`
- ** **Membuat kebijakan perlindungan data dengan Amazon S3 sebagai tujuan audit** **
- **Izin IAM diperlukan:** `logs:PutAccountPolicy` / **Sumber daya:** `*`
- **Izin IAM diperlukan:** `logs:PutDataProtectionPolicy` / **Sumber daya:** `*`
- **Izin IAM diperlukan:** `logs:CreateLogDelivery` / **Sumber daya:** `*`
- **Izin IAM diperlukan:** `s3:GetBucketPolicy` / **Sumber daya:** `arn:aws:s3:::{{YOUR_BUCKET}}`
- **Izin IAM diperlukan:** `s3:PutBucketPolicy` / **Sumber daya:** `arn:aws:s3:::{{YOUR_BUCKET}}`
- ** **Buka kedok peristiwa log bertopeng dalam grup log tertentu** **
- **Izin IAM diperlukan:** `logs:Unmask`
- **Sumber daya:** `arn:aws:logs:::log-group:*`
- ** **Melihat kebijakan perlindungan data yang ada** **
- **Izin IAM diperlukan:** `logs:GetDataProtectionPolicy`
- **Sumber daya:** `*`
- ** **Menghapus kebijakan perlindungan data** **
- **Izin IAM diperlukan:** `logs:DeleteAccountPolicy` / **Sumber daya:** `*`
- **Izin IAM diperlukan:** `logs:DeleteDataProtectionPolicy` / **Sumber daya:** `*`
Jika ada log audit perlindungan data yang sudah dikirim ke tujuan, maka kebijakan lain yang mengirim log ke tujuan yang sama hanya memerlukan izin `logs:PutDataProtectionPolicy` dan `logs:CreateLogDelivery` izin.
## Izin yang diperlukan untuk kebijakan perlindungan data untuk satu grup log
**catatan**
Jika Anda melakukan salah satu operasi ini di dalam fungsi Lambda, peran eksekusi Lambda dan batas izin juga harus menyertakan izin berikut.
| Operasi | Izin IAM diperlukan | Sumber daya |
| --- | --- | --- |
| Membuat kebijakan perlindungan data tanpa tujuan audit | `logs:PutDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` |
| Membuat kebijakan perlindungan data dengan CloudWatch Log sebagai tujuan audit | `logs:PutDataProtectionPolicy`
`logs:CreateLogDelivery`
`logs:PutResourcePolicy`
`logs:DescribeResourcePolicies`
`logs:DescribeLogGroups` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`
`*`
`*`
`*`
`*` |
| Membuat kebijakan perlindungan data dengan Firehose sebagai tujuan audit | `logs:PutDataProtectionPolicy`
`logs:CreateLogDelivery`
`firehose:TagDeliveryStream` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`
`*`
`arn:aws:logs:::deliverystream/{{YOUR_DELIVERY_STREAM}}` |
| Membuat kebijakan perlindungan data dengan Amazon S3 sebagai tujuan audit | `logs:PutDataProtectionPolicy`
`logs:CreateLogDelivery`
`s3:GetBucketPolicy`
`s3:PutBucketPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`
`*`
`arn:aws:s3:::{{YOUR_BUCKET}}`
`arn:aws:s3:::{{YOUR_BUCKET}}` |
| Buka kedok peristiwa log bertopeng | `logs:Unmask` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` |
| Melihat kebijakan perlindungan data yang ada | `logs:GetDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` |
| Menghapus kebijakan perlindungan data | `logs:DeleteDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` |
Jika ada log audit perlindungan data yang sudah dikirim ke tujuan, maka kebijakan lain yang mengirim log ke tujuan yang sama hanya memerlukan izin `logs:PutDataProtectionPolicy` dan `logs:CreateLogDelivery` izin.
## Contoh kebijakan perlindungan data
Contoh kebijakan berikut memungkinkan pengguna untuk membuat, melihat, dan menghapus kebijakan perlindungan data yang dapat mengirimkan temuan audit ke ketiga jenis tujuan audit. Itu tidak mengizinkan pengguna untuk melihat data yang dibuka kedoknya.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLogDeliveryConfiguration",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:PutResourcePolicy",
"logs:DescribeLogGroups",
"logs:DescribeResourcePolicies"
],
"Resource": "*"
},
{
"Sid": "AllowDataProtectionAndBucketConfiguration",
"Effect": "Allow",
"Action": [
"logs:GetDataProtectionPolicy",
"logs:DeleteDataProtectionPolicy",
"logs:PutDataProtectionPolicy",
"s3:PutBucketPolicy",
"firehose:TagDeliveryStream",
"s3:GetBucketPolicy"
],
"Resource": [
"arn:aws:firehose:{{us-east-1}}:{{111122223333}}:deliverystream/{{delivery-stream-name}}",
"arn:aws:s3:::{{amzn-s3-demo-destination-bucket}}",
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:{{log-group-name}}:*"
]
}
]
}
```
------