翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# CloudWatch ログ記録ロールを設定する
<a name="configure-cw-logging-role"></a>

アクセス権を設定するには、リソースベースの IAM ポリシー、およびアクセス情報を提供する IAM ロールを作成します。

Amazon CloudWatch ログ記録を有効にするには、CloudWatch ログ記録を有効にする IAM ポリシーの作成から開始します。次いで、IAM ロールを作成して、ポリシーをアタッチします。そのためには、[サーバーを作成](getting-started.md#getting-started-server)するか[既存のサーバーを編集](edit-server-config.md)します。CloudWatch の詳細については、Amazon CloudWatch ユーザーガイドの「[Amazon CloudWatch とは何か](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)」と「[Amazon CloudWatch Logs とは何か](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)」を参照してください。

CloudWatch のロギングを許可するには、以下の IAM ポリシーの例を使用します。

------
#### [ Use a logging role ]

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
        }
    ]
}
```

------
#### [ Use structured logging ]

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"                
            ],
            "Resource": "*"
        }
    ]
}
```

前述のサンプルポリシーでは、**Resource** について「*region-id*」と「*AWS アカウント*」を自分の値に置き換えます。例: **"Resource": "arn:aws::logs:us-east-1:111122223333:log-group:/aws/transfer/\$1"**

------

次いで、ロールを作成し、作成した CloudWatch Logs ポリシーをアタッチします。

**IAM ロールを作成し、ポリシーをアタッチするには**

1. ナビゲーションペインで [**Roles**] (ロール) を選択してから [**Create role**] (ロールの作成) を選択します。

   [**Create role**] (ロールの作成) ページで [**AWS service**] (サービス) が選択されていることを確認します。

1. サービスリストから [**Transfer**] (転送) を選択してから [**Next: Permissions**] (次へ: アクセス許可) を選択します。これにより、 AWS Transfer Family と IAM ロールとの信頼関係が確立されます。さらに、`aws:SourceAccount` と `aws:SourceArn` のコンディション・キーを追加し、「混乱する代理」問題から守ります。詳細は以下のドキュメントを参照のこと：
   + 以下との信頼関係を確立する手順 AWS Transfer Family: [信頼関係を確立するには](requirements-roles.md#establish-trust-transfer) 
   + 混乱した代理問題の説明:[混乱した代理問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)

1. [**Attach permissions policies**] (アクセス許可ポリシーをアタッチする) セクションで、先ほど作成した CloudWatch Logs ポリシーを選択し、[**Next: Tags**] (次へ: タグ) を選択します。

1. (オプション) タグのキーと値を入力し、[**Next: Review**] (次へ: 確認) を選択します。

1. [**Review**] (確認) ページで新しいロールの名前と説明を入力してから [**Create role**] (ロールの作成) を選択します。

1. ログを表示するには、[**Server ID**] (サーバー ID) を選択してサーバー設定ページを開き、[**View logs**] (ログの表示) を選択します。ログストリームを確認できる CloudWatch コンソールにリダイレクトされます。

サーバー用の CloudWatch ページで、ユーザー認証のレコード (成功と失敗)、データアップロード (`PUT` オペレーション) のレコード、およびデータダウンロード (`GET` オペレーション) のレコードを表示できます。