翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# CloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント
<a name="cloudtrail-required-policy-for-cloudwatch-logs"></a>

このセクションでは、CloudTrail ロールが CloudWatch Logs にログイベントを送信するために必要な許可ポリシーについて説明します。イベントを送信するように CloudTrail を設定するときは、ロールにポリシードキュメントをアタッチできます (「[「CloudWatch Logs へのイベントの送信」](send-cloudtrail-events-to-cloudwatch-logs.md)」を参照)。IAM を使用してロールを作成することもできます。詳細については、「[AWS のサービスにアクセス許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)」または「[IAM ロール (AWS CLI) の作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html#roles-creatingrole-user-cli)」を参照してください。

以下のポリシードキュメントの例には、指定したロググループで CloudWatch ログストリームを作成し、CloudTrail イベントを 米国東部 (オハイオ) リージョンのログストリームに配信するために必要なアクセス許可が含まれます。(これは、デフォルトの IAM ロール `CloudTrail_CloudWatchLogs_Role` に対するデフォルトのポリシーです。)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream2014110",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
            ]
        }
    ]
}
```

------

組織の証跡にも使用される可能性があるポリシーを作成している場合は、そのロール用に作成されたデフォルトポリシーから変更する必要があります。例えば、次のポリシーは、CloudTrail*\$1group\$1name* の値として指定したロググループに CloudWatch Logs ログストリームを作成し、 AWS アカウント 111111111111 の証跡と、*o-exampleorgid* の ID を持つ AWS Organizations 組織に適用される 111111111111 アカウントで作成された組織の証跡の両方について、そのログストリームに CloudTrail イベントを配信するために必要なアクセス許可を CloudTrail に付与します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}
```

------

組織の証跡の詳細については、「[組織の証跡の作成](creating-trail-organization.md)」を参照してください。