CloudWatch Logs로 전송된 로그 - Amazon CloudWatch Logs

CloudWatch Logs로 전송된 로그

중요

CloudWatch Logs로 전송되도록 다음 목록의 로그 유형을 설정하면 AWS에서는 로그 그룹과 연결된 리소스 정책을 생성하거나 변경하여 필요한 경우 로그를 수신합니다. 자세한 내용을 확인하려면 이 섹션을 계속 읽습니다.

이 섹션은 이전 섹션의 표에 나열된 로그 유형이 CloudWatch Logs로 전송될 때 적용됩니다.

사용자 권한

처음으로, 이러한 유형의 로그를 CloudWatch Logs로 전송하도록 설정하려면 다음 권한이 있는 계정에 로그인해야 합니다.

  • logs:CreateLogDelivery

  • logs:PutResourcePolicy

  • logs:DescribeResourcePolicies

  • logs:DescribeLogGroups

    참고

    logs:DescribeLogGroups, logs:DescribeResourcePolicies 또는 logs:PutResourcePolicy 권한을 지정할 때는 단일 로그 그룹 이름만 지정하는 대신 * 와일드카드를 사용할 수 있도록 Resource 줄의 ARN을 설정해야 합니다. 예: "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"

이러한 유형의 로그가 이미 CloudWatch Logs의 로그 그룹으로 전송되고 있는 경우 해당 유형 로그 중 다른 하나를 동일한 로그 그룹으로 보내도록 설정하려면 logs:CreateLogDelivery 권한만 있으면 됩니다.

로그 그룹 리소스 정책

로그를 보내는 로그 그룹에는 특정 권한이 포함된 리소스 정책이 있어야 합니다. 로그 그룹에 현재 리소스 정책이 없고 로깅을 설정하는 사용자에게 로그 그룹에 대한 logs:PutResourcePolicy,logs:DescribeResourcePolicieslogs:DescribeLogGroups 권한이 있는 경우 AWS에서는 로그를 CloudWatch Logs 로그로 전송하기 시작할 때 자동으로 다음 정책을 생성합니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}

로그 그룹에 리소스 정책이 있지만 해당 정책에 이전 정책에 표시된 명령문이 포함되어 있지 않고 로깅을 설정하는 사용자에게 로그 그룹에 대한 logs:PutResourcePolicy, logs:DescribeResourcePolicieslogs:DescribeLogGroups 권한이 있는 경우 해당 명령문이 로그 그룹의 리소스 정책에 추가됩니다.