Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Documento sulla politica dei ruoli CloudTrail per l'utilizzo CloudWatch dei registri per il monitoraggio Questa sezione descrive la politica di autorizzazione richiesta al CloudTrail ruolo per inviare eventi di registro a Logs. CloudWatch È possibile allegare un documento di policy a un ruolo quando si configura l'invio CloudTrail di eventi, come descritto in. [Invio di eventi ai CloudWatch registri](send-cloudtrail-events-to-cloudwatch-logs.md) Puoi creare un ruolo anche utilizzando IAM. Per ulteriori informazioni, consulta [Creazione di un ruolo per delegare le autorizzazioni a un](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) ruolo IAM Servizio AWS o [Creazione di un ruolo IAM ()AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html#roles-creatingrole-user-cli). Il seguente documento politico di esempio contiene le autorizzazioni necessarie per creare un flusso di CloudWatch log nel gruppo di log specificato e per inviare CloudTrail eventi a quel flusso di log nella regione Stati Uniti orientali (Ohio). Questa è l'impostazione di default per il ruolo IAM `CloudTrail_CloudWatchLogs_Role`. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] } ] } ``` ------ Se stai creando una policy che potrebbe essere utilizzata anche per i trail dell'organizzazione, dovrai modificarla a partire dalla policy predefinita creata per il ruolo. Ad esempio, la seguente politica concede CloudTrail le autorizzazioni necessarie per creare un flusso di log di CloudWatch Logs nel gruppo di *log\$1group\$1name* log specificato come valore e per inviare CloudTrail eventi a quel flusso di log per entrambi i trail nell' AWS account 1111 e per gli itinerari organizzativi creati nell'account 1111 che vengono applicati all' AWS Organizations organizzazione con l'ID di*o-exampleorgid*: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*" ] } ] } ``` ------ Per ulteriori informazioni sui trail dell'organizzazione, consulta [Creazione di un percorso per un'organizzazione](creating-trail-organization.md).