Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Registri inviati a CloudWatch Logs **Importante** Quando si impostano i tipi di registro nell'elenco seguente per l'invio ai CloudWatch registri, AWS crea o modifica le politiche delle risorse associate al gruppo di log che riceve i registri, se necessario. Continua a leggere questa sezione per vedere i dettagli. Questa sezione si applica quando i tipi di log elencati nella tabella della sezione precedente vengono inviati a Logs: CloudWatch **Autorizzazioni degli utenti** Per poter configurare l'invio di uno di questi tipi di log a CloudWatch Logs per la prima volta, è necessario accedere a un account con le seguenti autorizzazioni. + `logs:CreateLogDelivery` + `logs:PutResourcePolicy` + `logs:DescribeResourcePolicies` + `logs:DescribeLogGroups` **Nota** Quando specificate l'`logs:PutResourcePolicy`autorizzazione`logs:DescribeLogGroups`, o`logs:DescribeResourcePolicies`, assicuratevi di impostare l'ARN della relativa `Resource` riga in modo che utilizzi un carattere `*` jolly, invece di specificare solo il nome di un singolo gruppo di log. Ad esempio, `"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"` Se uno di questi tipi di log viene già inviato a un gruppo di log in CloudWatch Logs, per configurare l'invio di un altro di questi tipi di log allo stesso gruppo di log è sufficiente l'autorizzazione. `logs:CreateLogDelivery` **Policy delle risorse del gruppo di log** Il gruppo di log in cui vengono inviati i log deve disporre di una policy delle risorse che includa determinate autorizzazioni. Se il gruppo di log attualmente non dispone di un criterio in materia di risorse e l'utente che configura la `logs:PutResourcePolicy` registrazione dispone dei `logs:DescribeLogGroups` permessi e per il gruppo di log, crea AWS automaticamente la seguente politica quando si inizia a inviare i log a CloudWatch Logs. `logs:DescribeResourcePolicies` Per le sottoscrizioni appena create, le politiche delle risorse sono configurate a livello di gruppo di log e hanno una dimensione massima di 51.200 byte. Se una politica di risorse esistente a livello di account concede già le autorizzazioni tramite wildcard, non verrebbe creata una politica a livello di gruppo di log separata. Per verificare la politica delle risorse a livello di LogGroup per uno specifico gruppo di log, utilizzare il `describe-resource-policies` comando con il `--resource-arn` parametro impostato sul gruppo di log ARN e il parametro impostato su. `--policy-scope` `RESOURCE` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*" ], "Condition": { "StringEquals": { "aws:SourceAccount": [ "0123456789" ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:us-east-1:111122223333:*" ] } } } ] } ``` ------ Il limite della politica delle risorse del gruppo di log è di 51.200 byte. Una volta raggiunto questo limite, AWS non può aggiungere nuove autorizzazioni. Ciò richiede che i clienti modifichino manualmente la policy per concedere al `delivery.logs.amazonaws.com` servizio le autorizzazioni principali sulle azioni `logs:CreateLogStream` e`logs:PutLogEvents`. I clienti devono utilizzare un prefisso per il nome del gruppo di log con caratteri jolly come `/aws/vendedlogs/*` e utilizzare questo nome per le future creazioni di Delivery. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": [ "0123456789" ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:us-east-1:111122223333:*" ] } } } ] } ``` ------