Habilitar o registro a partir de AWS serviços - CloudWatch Registros da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar o registro a partir de AWS serviços

Embora muitos serviços publiquem registros somente no CloudWatch Logs, alguns AWS serviços podem publicar registros diretamente no Amazon Simple Storage Service ou no Amazon Data Firehose. Se seu principal requisito de logs for armazenamento ou processamento em um desses serviços, você poderá facilmente fazer com que o serviço que produz os logs os envie diretamente ao Amazon S3 ou ao Firehose sem configuração adicional.

Mesmo quando os logs são publicados diretamente no Amazon S3 ou no Firehose, eles são cobrados. Para obter mais informações, consulte Vended Logs na guia Logs em Amazon CloudWatch Pricing.

Alguns AWS serviços usam uma infraestrutura comum para enviar seus registros. Para ativar o log desses produtos, você deve estar registrado como um usuário com certas permissões. Além disso, você deve conceder permissões AWS para permitir que os registros sejam enviados.

Para serviços que exijam essas permissões, há duas versões das permissões necessárias. Os produtos que exigem essas permissões extras são indicados como [Permissões v1] compatíveis e [Permissões v2] compatíveis na tabela. Para obter informações sobre essas permissões necessárias, consulte as seções após a tabela.

Origem do log Tipo de log CloudWatch Logs Amazon S3 Firehose

Logs de acesso do Amazon API Gateway

Logs fornecidos

[Permissões v1] compatíveis

AWS AppSync logs

Logs personalizados

Compatível

Logs da Amazon Aurora MySQL

Logs personalizados

Compatível

Amazon Bedrock Registro de bases de conhecimento

Logs fornecidos [Permissões v2] compatíveis [Permissões v2] compatíveis [Permissões v2] compatíveis

Logs de métricas de qualidade de mídia do Amazon Chime e logs de mensagens SIP

Logs fornecidos

[Permissões v1] compatíveis

CloudFront: registros de acesso

Logs fornecidos [Permissões v2] compatíveis [Permissões v2] compatíveis [Permissões v2] compatíveis

AWS CloudHSM registros de auditoria

Logs personalizados

Compatível

CloudWatch Evidentemente, os registros de eventos de avaliação

Logs fornecidos [Permissões v1] compatíveis [Permissões v1] compatíveis

CloudWatch Registros do Internet Monitor

Logs fornecidos [Permissões v1] compatíveis

CloudTrail logs

Logs personalizados

Compatível

AWS CodeBuild logs

Logs personalizados

Compatível

Amazon CodeWhisperer registros de eventos

Logs fornecidos [Permissões v2] compatíveis [Permissões v2] compatíveis [Permissões v2] compatíveis

Amazon Cognito logs

Logs fornecidos [Permissões v1] compatíveis

Logs do Amazon Connect

Logs personalizados

Compatível

AWS DataSync logs

Logs personalizados

Compatível

Registros da Amazon ElastiCache (Redis OSS)

Logs fornecidos [Permissões v1] compatíveis [Permissões v1] compatíveis

Logs do AWS Elastic Beanstalk

Logs personalizados

Compatível

Logs do Amazon Elastic Container Service

Logs personalizados

Compatível

Logs do ambiente de gerenciamento do Serviço Amazon Elastic Kubernetes

Logs fornecidos

Compatível

AWS Elemental MediaPackage registros de acesso

Logs fornecidos [Permissões v2] compatíveis [Permissões v2] compatíveis [Permissões v2] compatíveis

AWS Elemental MediaTailor logs

Logs fornecidos [Permissões v2] compatíveis [Permissões v2] compatíveis [Permissões v2] compatíveis
Logs do AWS Entity Resolution Logs fornecidos [Permissões v2] compatíveis [Permissões v2] compatíveis [Permissões v2] compatíveis

Amazon EventBridge Registro de tubulações

Logs fornecidos [Permissões v1] compatíveis [Permissões v1] compatíveis [Permissões v1] compatíveis

Logs do AWS Fargate

Logs personalizados

Compatível

Logs de experimento do AWS Fault Injection Service

Logs fornecidos [Permissões v1] compatíveis

Amazon FinSpace

Logs fornecidos [Permissões v1] compatíveis [Permissões v1] compatíveis [Permissões v1] compatíveis

AWS Global Accelerator registros de fluxo

Logs fornecidos [Permissões v1] compatíveis

Logs de trabalhos do AWS Glue

Logs personalizados

Compatível

Logs de erros do IAM Identity Center

Logs fornecidos [Permissões v2] compatíveis [Permissões v2] compatíveis [Permissões v2] compatíveis

Logs de chat do Amazon Interactive Video Service

Logs fornecidos [Permissões v1] compatíveis [Permissões v1] compatíveis [Permissões v1] compatíveis

Logs do AWS IoT

Logs personalizados

Compatível

AWS IoT FleetWise logs

Logs fornecidos [Permissões v1] compatíveis [Permissões v1] compatíveis [Permissões v1] compatíveis

Logs do AWS Lambda

Logs fornecidos

Compatível

Compatível

Compatível

Logs do Amazon Macie

Logs personalizados

Compatível

Registros do Amazon SES Logs fornecidos [Permissões v2] compatíveis [Permissões v2] compatíveis [Permissões v2] compatíveis

AWS Mainframe Modernization

Logs fornecidos [Permissões v1] compatíveis [Permissões v1] compatíveis [Permissões v1] compatíveis

Logs do Amazon Managed Service for Prometheus

Logs fornecidos

[Permissões v1] compatíveis

Logs do agente do Amazon MSK

Logs fornecidos

[Permissões v1] compatíveis

[Permissões v1] compatíveis [Permissões v1] compatíveis

Logs do Amazon MSK Connect

Logs fornecidos

[Permissões v1] compatíveis

[Permissões v1] compatíveis [Permissões v1] compatíveis

Logs gerais e de auditoria do Amazon MQ

Logs personalizados

Compatível

AWS Registros do Firewall de Rede

Logs fornecidos

[Permissões v1] compatíveis

[Permissões v1] compatíveis [Permissões v1] compatíveis

Logs de acesso do Network Load Balancer

Logs fornecidos [Permissões v1] compatíveis

OpenSearch logs

Logs personalizados

Compatível

Registros OpenSearch de ingestão do Amazon Service

Logs fornecidos [Permissões v1] compatíveis [Permissões v1] compatíveis [Permissões v1] compatíveis

Logs do AWS OpsWorks

Logs personalizados

Compatível

Logs do AWS PCS Logs fornecidos [Permissões v2] compatíveis [Permissões v2] compatíveis [Permissões v2] compatíveis

Registros ServicePostgre SQL do Amazon Relational Database

Logs personalizados

Compatível

Registros de conversas comerciais do Amazon Q

Logs fornecidos [Permissões v2] compatíveis [Permissões v2] compatíveis [Permissões v2] compatíveis

AWS RoboMaker logs

Logs personalizados

Compatível

Logs de consulta ao DNS público do Amazon Route 53

Logs fornecidos

Compatível

Logs de consulta do Amazon Route 53 Resolver

Logs fornecidos

[Permissões v1] compatíveis

[Permissões v1] compatíveis

Eventos de SageMaker IA da Amazon

Logs fornecidos

[Permissões v1] compatíveis

Eventos para trabalhadores da Amazon SageMaker AI

Logs fornecidos

[Permissões v1] compatíveis

AWS Registros de VPN de site para site

Logs fornecidos

[Permissões v1] compatíveis

[Permissões v1] compatíveis

[Permissões v1] compatíveis

Registros do Amazon Simple Email Service

Logs fornecidos [Permissões v2] compatíveis [Permissões v2] compatíveis [Permissões v2] compatíveis

Logs do Amazon Simple Notification Service

Logs personalizados

Compatível

Logs da política de proteção de dados do Amazon Simple Notification Service

Logs personalizados

Compatível

EC2 Arquivos de feed de dados da Spot Instance

Logs fornecidos

[Permissões v1] compatíveis

AWS Step Functions Registros de fluxo de trabalho expresso e fluxo de trabalho padrão

Logs fornecidos

[Permissões v1] compatíveis

Logs de auditoria e logs de integridade do Storage Gateway

Logs fornecidos

[Permissões v1] compatíveis

AWS Transfer Family logs

Logs fornecidos

[Permissões v1] compatíveis

[Permissões v1] compatíveis

[Permissões v1] compatíveis

Acesso Verificado pela AWS logs

Logs fornecidos

[Permissões v1] compatíveis

[Permissões v1] compatíveis

[Permissões v1] compatíveis

Logs de fluxo da Amazon Virtual Private Cloud

Logs fornecidos

Compatível

[Permissões v1] compatíveis [Permissões v1] compatíveis

Registros de acesso do Amazon VPC Lattice

Logs fornecidos [Permissões v1] compatíveis [Permissões v1] compatíveis [Permissões v1] compatíveis
Servidor de rotas Amazon VPC Logs fornecidos [Permissões v2] compatíveis [Permissões v2] compatíveis [Permissões v2] compatíveis

Logs do AWS WAF

Logs fornecidos [Permissões v1] compatíveis [Permissões v1] compatíveis

Compatível

Amazon WorkMail registros de auditoria

Logs fornecidos [Permissões v2] compatíveis [Permissões v2] compatíveis [Permissões v2] compatíveis

Registro em log que requer permissões [v1] adicionais

Alguns AWS serviços usam uma infraestrutura comum para enviar seus CloudWatch registros para Logs, Amazon S3 ou Firehose. Para habilitar os serviços da AWS listados na tabela a seguir para enviar seus logs para esses destinos, você deve estar conectado como um usuário com determinadas permissões.

Além disso, é necessário conceder permissões AWS para permitir que os registros sejam enviados. AWS pode criar automaticamente essas permissões quando os registros são configurados, ou você mesmo pode criá-las antes de configurar o registro. Para entrega entre contas, você mesmo deve criar manualmente as políticas de permissão.

Se você optar por configurar AWS automaticamente as permissões e as políticas de recursos necessárias quando você ou alguém em sua organização configura o envio de registros pela primeira vez, o usuário que está configurando o envio de registros deverá ter determinadas permissões, conforme explicado posteriormente nesta seção. Se preferir, você pode criar as políticas de recursos, e os usuários que configurarem o envio de logs não precisarão de tantas permissões.

A tabela a seguir resume a quais tipos de logs e a quais destinos de log as informações nesta seção se aplicam.

As seções a seguir fornecem mais detalhes sobre cada um desses destinos.

Registros enviados para CloudWatch Logs

Importante

Quando você configura os tipos de registro na lista a seguir para serem enviados ao CloudWatch Logs, AWS cria ou altera as políticas de recursos associadas ao grupo de registros que recebe os registros, se necessário. Continue lendo esta seção para ver os detalhes.

Esta seção se aplica quando os tipos de registros listados na tabela da seção anterior são enviados para CloudWatch Logs:

Permissões de usuário

Para poder configurar o envio de qualquer um desses tipos de CloudWatch registros para o Logs pela primeira vez, você precisa estar conectado a uma conta com as seguintes permissões.

  • logs:CreateLogDelivery

  • logs:PutResourcePolicy

  • logs:DescribeResourcePolicies

  • logs:DescribeLogGroups

    nota

    Quando você especificar a permissão logs:DescribeLogGroups, logs:DescribeResourcePolicies ou logs:PutResourcePolicy, certifique-se de definir o ARN da linha Resource para que use um caractere curinga *, em vez de especificar apenas um único nome de grupo de logs. Por exemplo, "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*".

Se algum desses tipos de registros já estiver sendo enviado para um grupo de CloudWatch registros no Logs, para configurar o envio de outro desses tipos de registros para esse mesmo grupo de registros, você só precisará da logs:CreateLogDelivery permissão.

Política de recursos do grupo de logs

O grupo de logs para o qual os logs estão sendo enviados deve ter uma política de recursos que contenha determinadas permissões. Se o grupo de registros atualmente não tiver uma política de recursos e o usuário que configura o registro tiver as logs:DescribeLogGroups permissõeslogs:PutResourcePolicy,logs:DescribeResourcePolicies, e para o grupo de registros, AWS criará automaticamente a política a seguir quando você começar a enviar os CloudWatch registros para o Logs.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-1:0123456789:log-group:my-log-group:log-stream:*" ], "Condition": { "StringEquals": { "aws:SourceAccount": ["0123456789"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:us-east-1:0123456789:*"] } } } ] }

Se o grupo de logs tem uma política de recursos, mas essa política não contém a instrução exibida na política anterior, e o usuário configurando o log tem as permissões logs:PutResourcePolicy, logs:DescribeResourcePolicies e logs:DescribeLogGroups para o grupo de logs, essa instrução é anexada à política de recursos do grupo de logs.

Logs enviados ao Amazon S3

Quando você define os registros a serem enviados para o Amazon S3, AWS cria ou altera as políticas de recursos associadas ao bucket do S3 que está recebendo os registros, se necessário.

Os logs publicados diretamente no Amazon S3 são publicados em um bucket especificado por você. Um ou mais arquivos de log são criados a cada cinco minutos no bucket especificado.

Quando você entrega logs a um bucket do Amazon S3 pela primeira vez, o serviço que entrega logs registra o proprietário do bucket para garantir que os logs sejam entregues somente a um bucket pertencente a essa conta. Consequentemente, para alterar o proprietário do bucket do Amazon S3, é necessário recriar ou atualizar a assinatura de log no serviço de origem.

nota

CloudFront usa um modelo de permissões diferente dos outros serviços que enviam registros vendidos para o S3. Para obter mais informações, consulte Permissões necessárias para configurar o registro padrão e acessar seus arquivos de log.

Além disso, se você usar o mesmo bucket do S3 para registros de CloudFront acesso e outra fonte de log, habilitar a ACL no bucket CloudFront também concederá permissão a todas as outras fontes de log que usam esse bucket.

Importante

Se você for enviar logs para um bucket do Amazon S3 e a política do bucket contiver um elemento NotAction ou NotPrincipal, adicionar automaticamente permissões de entrega de logs ao bucket e criar uma assinatura de log não funcionará. Para criar uma assinatura de logs com sucesso, você precisa adicionar manualmente as permissões de entrega de logs à política do bucket e depois criar a assinatura de logs. Para obter mais informações, consulte as instruções desta seção.

Se o bucket tiver criptografia do lado do servidor usando uma AWS KMS chave gerenciada pelo cliente, você também deverá adicionar a política de chaves para sua chave gerenciada pelo cliente. Para obter mais informações, consulte Amazon S3.

Se o bucket de destino tiver SSE-KMS e uma chave de bucket ativados, a política de chave KMS gerenciada pelo cliente anexada não funcionará mais conforme o esperado para todas as solicitações. Para obter mais informações, consulte Redução do custo do SSE-KMS com chaves de bucket do Amazon S3.

Se você estiver usando registros vendidos e criptografia S3 com uma AWS KMS chave gerenciada pelo cliente, deverá usar um AWS KMS ARN de chave totalmente qualificado em vez de um ID de chave ao configurar o bucket. Para obter mais informações, consulte put-bucket-encryption.

Permissões de usuário

Para poder configurar o envio de qualquer um desses tipos de logs ao Amazon S3 pela primeira vez, é necessário conectar-se a uma conta com as permissões a seguir.

  • logs:CreateLogDelivery

  • S3:GetBucketPolicy

  • S3:PutBucketPolicy

Se algum desses tipos de logs já estiver sendo enviado a um bucket do Amazon S3, para configurar o envio de outro desses tipos de logs para esse mesmo bucket, apenas a permissão logs:CreateLogDelivery será necessária.

Política de recursos do bucket do S3

O bucket do S3 para o qual os logs estão sendo enviados deve ter uma política de recursos que contenha determinadas permissões. Se o bucket atualmente não tiver uma política de recursos e o usuário que configura o registro tiver as S3:PutBucketPolicy permissões S3:GetBucketPolicy e para o bucket, criará AWS automaticamente a seguinte política para ele quando você começar a enviar os registros para o Amazon S3.

{ "Version": "2012-10-17", "Id": "AWSLogDeliveryWrite20150319", "Statement": [ { "Sid": "AWSLogDeliveryAclCheck", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:SourceAccount": ["0123456789"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:us-east-1:0123456789:*"] } } }, { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/account-ID/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": ["0123456789"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:us-east-1:0123456789:*"] } } } ] }

Na política anterior, para aws:SourceAccount, especifique a lista de IDS de conta para os quais os logs estão sendo entregues a esse bucket. Paraaws:SourceArn, especifique a lista ARNs do recurso que gera os registros, no formulárioarn:aws:logs:source-region:source-account-id:*.

Se o bucket tiver uma política de recursos, mas ela não contiver a instrução exibida na política anterior, e o usuário configurando o log tiver as permissões S3:GetBucketPolicy e S3:PutBucketPolicy para o bucket, essa instrução será anexada à política de recursos do bucket.

nota

Em alguns casos, você pode ver AccessDenied erros AWS CloudTrail se a s3:ListBucket permissão não tiver sido concedidadelivery.logs.amazonaws.com. Para evitar esses erros em seus CloudTrail registros, você deve conceder a s3:ListBucket permissão delivery.logs.amazonaws.com e incluir Condition os parâmetros mostrados com o conjunto de s3:GetBucketAcl permissões na política de bucket anterior. Para simplificar isso, em vez de criar uma nova Statement, você pode atualizar AWSLogDeliveryAclCheck diretamente para “Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]

Criptografia no lado do servidor de bucket do Amazon S3

Você pode proteger os dados em seu bucket do Amazon S3 habilitando a criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) ou a criptografia do lado do servidor com uma chave armazenada em (SSE-KMS). AWS KMS AWS Key Management Service Para obter mais informações, consulte Proteger dados usando a criptografia no lado do servidor.

Se você escolher SSE-S3, nenhuma configuração adicional será necessária. O Amazon S3 lida com a chave de criptografia.

Atenção

Se você escolher o SSE-KMS, deverá usar uma chave gerenciada pelo cliente, pois o uso de uma chave AWS gerenciada não é suportado nesse cenário. Se você configurar a criptografia usando uma chave AWS gerenciada, os registros serão entregues em um formato ilegível.

Ao usar uma AWS KMS chave gerenciada pelo cliente, você pode especificar o Amazon Resource Name (ARN) da chave gerenciada pelo cliente ao ativar a criptografia do bucket. Você precisa adicionar o seguinte à política de chaves da chave gerenciada pelo cliente (não à política de bucket para o bucket do S3), para que a conta de entrega de log possa gravar no bucket do S3.

Se você escolher o SSE-KMS, deverá usar uma chave gerenciada pelo cliente, pois o uso de uma chave AWS gerenciada não é suportado nesse cenário. Ao usar uma AWS KMS chave gerenciada pelo cliente, você pode especificar o Amazon Resource Name (ARN) da chave gerenciada pelo cliente ao ativar a criptografia do bucket. Você precisa adicionar o seguinte à política de chaves da chave gerenciada pelo cliente (não à política de bucket para o bucket do S3), para que a conta de entrega de log possa gravar no bucket do S3.

{ "Sid": "Allow Logs Delivery to use the key", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": ["0123456789"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:us-east-1:0123456789:*"] } } }

Para aws:SourceAccount, especifique a lista de IDS de conta para os quais os logs estão sendo entregues a esse bucket. Paraaws:SourceArn, especifique a lista ARNs do recurso que gera os registros, no formulárioarn:aws:logs:source-region:source-account-id:*.

Logs enviados ao Firehose

Esta seção se aplica quando os tipos de logs listados na tabela da seção anterior são enviados ao Firehose:

Permissões de usuário

Para poder configurar o envio de qualquer um desses tipos de logs ao Firehose pela primeira vez, você deve fazer login em uma conta com as permissões a seguir.

  • logs:CreateLogDelivery

  • firehose:TagDeliveryStream

  • iam:CreateServiceLinkedRole

Se algum desses tipos de log já estiver sendo enviado ao Firehose, para configurar o envio de outro tipo de log para o Firehose, você só precisará ter as permissões logs:CreateLogDelivery e firehose:TagDeliveryStream.

Funções do IAM usadas para permissões

Como o Firehose não usa políticas de recursos, AWS usa funções do IAM ao configurar esses registros para serem enviados ao Firehose. AWS cria uma função vinculada ao serviço chamada. AWSServiceRoleForLogDelivery Essa função vinculada ao serviço inclui as permissões a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "firehose:PutRecord", "firehose:PutRecordBatch", "firehose:ListTagsForDeliveryStream" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/LogDeliveryEnabled": "true" } }, "Effect": "Allow" } ] }

Essa função vinculada ao serviço concede permissão para todos os streams de entrega do Firehose que têm a tag definida como. LogDeliveryEnabled true AWS fornece essa tag ao stream de entrega de destino quando você configura o registro.

Essa função vinculada ao serviço também tem uma política de confiança que permite que a entidade de serviço delivery.logs.amazonaws.com assuma a função vinculada ao serviço necessária. Essa política de confiança é a seguinte:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Registro em log que requer permissões [v2] adicionais

Alguns AWS serviços usam um novo método para enviar seus registros. Esse é um método flexível que permite configurar a entrega de registros desses serviços para um ou mais dos seguintes destinos: CloudWatch Logs, Amazon S3 ou Firehose.

A entrega de um log de trabalho consiste em três elementos:

  • Uma DeliverySource, que é um objeto lógico que representa os recursos que, de fato, enviam os logs.

  • Um DeliveryDestination, que é um objeto lógico que representa o destino da entrega de fato .

  • Uma Delivery, que conecta a origem da entrega ao destino da entrega

Para configurar a entrega de registros entre um AWS serviço compatível e um destino, você deve fazer o seguinte:

  • Crie uma fonte de entrega com PutDeliverySource.

  • Crie um destino de entrega com PutDeliveryDestination.

  • Se você estiver entregando registros entre contas, deverá usá-los PutDeliveryDestinationPolicyna conta de destino para atribuir uma IAM política ao destino. Essa política autoriza a criação de uma entrega da origem da entrega na conta A para o destino da entrega na conta B. Para entrega entre contas, você mesmo deve criar manualmente as políticas de permissão.

  • Crie uma entrega combinando exatamente uma fonte de entrega e um destino de entrega, usando CreateDelivery.

As seções a seguir fornecem os detalhes das permissões que você precisa ter ao fazer login para configurar a entrega de logs para cada tipo de destino, usando o processo v2. Essas permissões podem ser concedidas a um perfil do IAM com o qual você está conectado.

Importante

É sua responsabilidade remover os recursos de entrega de logs após excluir o recurso que gera os logs. Para fazer isso, siga estas etapas.

  1. Exclua o Delivery usando a DeleteDeliveryoperação.

  2. Exclua o DeliverySource usando a DeleteDeliverySourceoperação.

  3. Se o DeliveryDestination associado ao DeliverySource que você acabou de excluir for usado somente para esse específicoDeliverySource, você poderá removê-lo usando a DeleteDeliveryDestinationsoperação.

Registros enviados para CloudWatch Logs

Permissões de usuário

Para ativar o envio de CloudWatch registros para o Logs, você precisa estar conectado com as seguintes permissões.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery", "logs:UpdateDeliveryConfiguration" ], "Resource": [ "arn:aws:logs:region:account-id:delivery:*", "arn:aws:logs:region:account-id:delivery-source:*", "arn:aws:logs:region:account-id:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeConfigurationTemplates" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyCWL", "Effect": "Allow", "Action": [ "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": [ "arn:aws:logs:region:account-id:*" ] } ] }

Política de recursos do grupo de logs

O grupo de logs para o qual os logs estão sendo enviados deve ter uma política de recursos que contenha determinadas permissões. Se o grupo de registros atualmente não tiver uma política de recursos e o usuário que configura o registro tiver as logs:DescribeLogGroups permissõeslogs:PutResourcePolicy,logs:DescribeResourcePolicies, e para o grupo de registros, AWS criará automaticamente a política a seguir quando você começar a enviar os CloudWatch registros para o Logs.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-1:0123456789:log-group:my-log-group:log-stream:*" ], "Condition": { "StringEquals": { "aws:SourceAccount": ["0123456789"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:us-east-1:0123456789:*"] } } } ] }

Logs enviados ao Amazon S3

Permissões de usuário

Para permitir o envio de logs ao Amazon S3, é necessário fazer login com as permissões a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery", "logs:UpdateDeliveryConfiguration" ], "Resource": [ "arn:aws:logs:region:account-id:delivery:*", "arn:aws:logs:region:account-id:delivery-source:*", "arn:aws:logs:region:account-id:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeConfigurationTemplates" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyS3", "Effect": "Allow", "Action": [ "s3:PutBucketPolicy", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucket-name" } ] }

O bucket do S3 para o qual os logs estão sendo enviados deve ter uma política de recursos que contenha determinadas permissões. Se o bucket atualmente não tiver uma política de recursos e o usuário que configura o registro tiver as S3:PutBucketPolicy permissões S3:GetBucketPolicy e para o bucket, criará AWS automaticamente a seguinte política para ele quando você começar a enviar os registros para o Amazon S3.

{ "Version": "2012-10-17", "Id": "AWSLogDeliveryWrite20150319", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/account-ID/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": ["0123456789"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:us-east-1:0123456789:delivery-source:*"] } } } ] }

Na política anterior, para aws:SourceAccount, especifique a lista de IDS de conta para os quais os logs estão sendo entregues a esse bucket. Paraaws:SourceArn, especifique a lista ARNs do recurso que gera os registros, no formulárioarn:aws:logs:source-region:source-account-id:*.

Se o bucket tiver uma política de recursos, mas ela não contiver a instrução exibida na política anterior, e o usuário configurando o log tiver as permissões S3:GetBucketPolicy e S3:PutBucketPolicy para o bucket, essa instrução será anexada à política de recursos do bucket.

nota

Em alguns casos, você pode ver AccessDenied erros AWS CloudTrail se a s3:ListBucket permissão não tiver sido concedidadelivery.logs.amazonaws.com. Para evitar esses erros em seus CloudTrail registros, você deve conceder a s3:ListBucket permissão delivery.logs.amazonaws.com e incluir Condition os parâmetros mostrados com o conjunto de s3:GetBucketAcl permissões na política de bucket anterior. Para simplificar isso, em vez de criar uma nova Statement, você pode atualizar AWSLogDeliveryAclCheck diretamente para “Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]

Criptografia no lado do servidor de bucket do Amazon S3

Você pode proteger os dados em seu bucket do Amazon S3 habilitando a criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) ou a criptografia do lado do servidor com uma chave armazenada em (SSE-KMS). AWS KMS AWS Key Management Service Para obter mais informações, consulte Proteger dados usando a criptografia no lado do servidor.

Se você escolher SSE-S3, nenhuma configuração adicional será necessária. O Amazon S3 lida com a chave de criptografia.

Atenção

Se você escolher o SSE-KMS, deverá usar uma chave gerenciada pelo cliente, pois o uso de uma chave AWS gerenciada não é suportado nesse cenário. Se você configurar a criptografia usando uma chave AWS gerenciada, os registros serão entregues em um formato ilegível.

Ao usar uma AWS KMS chave gerenciada pelo cliente, você pode especificar o Amazon Resource Name (ARN) da chave gerenciada pelo cliente ao ativar a criptografia do bucket. Você precisa adicionar o seguinte à política de chaves da chave gerenciada pelo cliente (não à política de bucket para o bucket do S3), para que a conta de entrega de log possa gravar no bucket do S3.

Se você escolher o SSE-KMS, deverá usar uma chave gerenciada pelo cliente, pois o uso de uma chave AWS gerenciada não é suportado nesse cenário. Ao usar uma AWS KMS chave gerenciada pelo cliente, você pode especificar o Amazon Resource Name (ARN) da chave gerenciada pelo cliente ao ativar a criptografia do bucket. Você precisa adicionar o seguinte à política de chaves da chave gerenciada pelo cliente (não à política de bucket para o bucket do S3), para que a conta de entrega de log possa gravar no bucket do S3.

{ "Sid": "Allow Logs Delivery to use the key", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": ["0123456789"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:us-east-1:0123456789:delivery-source:*"] } } }

Para aws:SourceAccount, especifique a lista de IDS de conta para os quais os logs estão sendo entregues a esse bucket. Paraaws:SourceArn, especifique a lista ARNs do recurso que gera os registros, no formulárioarn:aws:logs:source-region:source-account-id:*.

Logs enviados ao Firehose

Permissões de usuário

Para permitir o envio de logs ao Firehose, você primeiro deve fazer login com as permissões a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery", "logs:UpdateDeliveryConfiguration" ], "Resource": [ "arn:aws:logs:region:account-id:delivery:*", "arn:aws:logs:region:account-id:delivery-source:*", "arn:aws:logs:region:account-id:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeConfigurationTemplates" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyFH", "Effect": "Allow", "Action": [ "firehose:TagDeliveryStream" ], "Resource": [ "arn:aws:firehose:region:account-id:deliverystream/*" ] }, { "Sid": "CreateServiceLinkedRole", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::account-id:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery" } ] }

Perfis do IAM usados para permissões de recursos

Como o Firehose não usa políticas de recursos, AWS usa funções do IAM ao configurar esses registros para serem enviados ao Firehose. AWS cria uma função vinculada ao serviço chamada. AWSServiceRoleForLogDelivery Essa função vinculada ao serviço inclui as permissões a seguir.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "firehose:PutRecord", "firehose:PutRecordBatch", "firehose:ListTagsForDeliveryStream" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/LogDeliveryEnabled": "true" } }, "Effect": "Allow" } ] }

Essa função vinculada ao serviço concede permissão para todos os streams de entrega do Firehose que têm a tag definida como. LogDeliveryEnabled true AWS fornece essa tag ao stream de entrega de destino quando você configura o registro.

Essa função vinculada ao serviço também tem uma política de confiança que permite que a entidade de serviço delivery.logs.amazonaws.com assuma a função vinculada ao serviço necessária. Essa política de confiança é a seguinte:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Permissões específicas do serviço

Além das permissões específicas do destino listadas nas seções anteriores, alguns serviços exigem autorização explícita para os clientes enviarem logs de seus recursos, como uma camada adicional de segurança. Ela autoriza a ação AllowVendedLogDeliveryForResource para os recursos que vendem logs nesse serviço. Para esses serviços, use a política a seguir service e resource-type substitua-a pelos valores apropriados. Para obter os valores específicos do serviço para esses campos, consulte a página de documentação desses serviços para logs vendidos.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ServiceLevelAccessForLogDelivery", "Effect": "Allow", "Action": [ "service:AllowVendedLogDeliveryForResource" ], "Resource": "arn:aws:service:region:account-id:resource-type/*" } ] }

Permissões específicas do console

Além das permissões listadas nas seções anteriores, se você estiver configurando a entrega de registros usando o console em vez do APIs, você também precisará das seguintes permissões adicionais:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowLogDeliveryActionsConsoleCWL", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:CreateLogGroups" ], "Resource": [ "arn:aws:logs:us-east-1:111122223333:log-group:*" ] }, { "Sid": "AllowLogDeliveryActionsConsoleS3", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::*" ] }, { "Sid": "AllowLogDeliveryActionsConsoleFH", "Effect": "Allow", "Action": [ "firehose:ListDeliveryStreams", "firehose:DescribeDeliveryStream" ], "Resource": [ "*" ] } ] }

Exemplo de entrega entre contas

Neste exemplo, duas contas estão envolvidas. A conta com o recurso gerador de registros é Conta A, ID:AAAAAAAAAAAA, e a conta com o recurso que consome registros é Conta B, ID:. BBBBBBBBBBBB

A conta A deseja fornecer registros da base de Amazon Bedrock conhecimento em sua conta com o ARN arn:aws:bedrock: ::knowledge-base/. region AAAAAAAAAAAA XXXXXXXXXX

Neste exemplo, a conta A precisa das seguintes permissões:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowVendedLogDeliveryForKnowledgeBase", "Effect": "Allow", "Action": [ "bedrock:AllowVendedLogDeliveryForResource" ], "Resource": "arn:aws:bedrock:region:AAAAAAAAAAAA:knowledge-base/XXXXXXXXXX" }, { "Sid": "CreateLogDeliveryPermissions", "Effect": "Allow", "Action": [ "logs:PutDeliverySource", "logs:CreateDelivery" ], "Resource": [ "arn:aws:logs:region:AAAAAAAAAAAA:delivery-source:*", "arn:aws:logs:region:AAAAAAAAAAAA:delivery:*", "arn:aws:logs:region:BBBBBBBBBBBB:delivery-destination:*" ] } ] }

Criar origem de entrega

Para começar, a conta A cria uma origem de entrega com sua base de conhecimentos do Bedrock:

aws logs put-delivery-source --name my-delivery-source --log-type APPLICATION_LOGS --resource-arn arn:aws:bedrock:region:AAAAAAAAAAAA:knowledge-base/XXXXXXXXXX

Em seguida, a conta B deve criar o destino da entrega usando um dos fluxos abaixo:

Configurar entrega para um bucket do Amazon S3

A conta B deseja receber os logs no bucket do S3 com o ARN arn:aws:s3: ::amzn-s3-demo-bucket. Neste exemplo, a conta B precisará das seguintes permissões:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "PutLogDestinationPermissions", "Effect": "Allow", "Action": [ "logs:PutDeliveryDestination", "logs:PutDeliveryDestinationPolicy" ], "Resource": "arn:aws:logs:region:BBBBBBBBBBBB:delivery-destination:*" } ] }

O bucket precisará das seguintes permissões em sua política de bucket:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogsDeliveryWrite", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/AAAAAAAAAAAA/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": ["AAAAAAAAAAAA"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:region:AAAAAAAAAAAA:delivery-source:my-delivery-source"] } } } ] }

Se o bucket for criptografado com SSE-KMS, certifique-se de que a política de AWS KMS chaves tenha as permissões apropriadas. Por exemplo, se a chave do KMS for arn:aws:kms:region:BBBBBBBBBBBB:key/X, use o seguinte:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowLogsGenerateDataKey", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" } "Action": [ "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:region:BBBBBBBBBBBB:key/X", "Condition": { "StringEquals": { "aws:SourceAccount": ["AAAAAAAAAAAA"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:region:AAAAAAAAAAAA:delivery-source:my-delivery-source"] } } } ] }

A conta B pode então criar um destino de entrega tendo o bucket do S3 como recurso de destino:

aws logs put-delivery-destination --name my-s3-delivery-destination --delivery-destination-configuration "destinationResourceArn=arn:aws:s3:::amzn-s3-demo-bucket"

Em seguida, a conta B cria uma política de destino de entrega em seu destino de entrega recém-criado, o que dará à conta A permissão para criar uma entrega de logs. A política que será adicionada ao destino de entregas recém-criado é a seguinte:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateDelivery", "Effect": "Allow", "Principal": { "AWS": "AAAAAAAAAAAA" }, "Action": [ "logs:CreateDelivery" ], "Resource": "arn:aws:logs:region:BBBBBBBBBBBB:delivery-destination:my-s3-delivery-destination" } ] }

Essa política será salva no computador da conta B como destination-policy-s3.json. Para anexar esse recurso, a conta B executará o seguinte comando:

aws logs put-delivery-destination-policy --delivery-destination-name my-s3-delivery-destination --delivery-destination-policy file://destination-policy-s3.json

Por fim, a conta A cria a entrega, que vincula a origem da entrega na conta A ao destino da entrega na conta B.

aws logs create-delivery --delivery-source-name my-delivery-source --delivery-destination-arn arn:aws:logs:region:BBBBBBBBBBBB:delivery-destination:my-s3-delivery-destination

Configurar entrega em um fluxo do Firehose

Neste exemplo, a conta B quer receber logs em seu fluxo do Firehose. O stream do Firehose tem o seguinte ARN e está configurado para usar o tipo de stream de entrega: DirectPut

arn:aws:firehose:region:BBBBBBBBBBBB:deliverystream/X

Neste exemplo, a conta B precisa das seguintes permissões:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowFirehoseCreateSLR", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::BBBBBBBBBBBB:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery", }, { "Sid": "AllowFirehoseTagging", "Effect": "Allow", "Action": [ "firehose:TagDeliveryStream" ], "Resource": "arn:aws:firehose:region:BBBBBBBBBBBB:deliverystream/X" }, { "Sid": "AllowFirehoseDeliveryDestination", "Effect": "Allow", "Action": [ "logs:PutDeliveryDestination", "logs:PutDeliveryDestinationPolicy" ], "Resource": "arn:aws:logs:region:BBBBBBBBBBBB:delivery-destination:*" } ] }

O fluxo do Firehose deve ter a tag LogDeliveryEnabled definida como true.

A conta B pode então criar um destino de entrega tendo o fluxo do Firehose como recurso de destino:

aws logs put-delivery-destination --name my-fh-delivery-destination --delivery-destination-configuration "destinationResourceArn=arn:aws:firehose:region:BBBBBBBBBBBB:deliverystream/X"

Em seguida, a conta B cria uma política de destino de entrega em seu destino de entrega recém-criado, o que dará à conta A permissão para criar uma entrega de logs. A política que será adicionada ao destino de entrega recém-criado é a seguinte:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateDelivery", "Effect": "Allow", "Principal": { "AWS": "AAAAAAAAAAAA" }, "Action": [ "logs:CreateDelivery" ], "Resource": "arn:aws:logs:region:BBBBBBBBBBBB:delivery-destination:my-fh-delivery-destination" } ] }

Essa política será salva no computador da conta B como destination-policy-fh.json. Para anexar esse recurso, a conta B executa o seguinte comando:

aws logs put-delivery-destination-policy --delivery-destination-name my-fh-delivery-destination --delivery-destination-policy file://destination-policy-fh.json

Por fim, a conta A cria a entrega, que vincula a origem da entrega na conta A ao destino da entrega na conta B.

aws logs create-delivery --delivery-source-name my-delivery-source --delivery-destination-arn arn:aws:logs:region:BBBBBBBBBBBB:delivery-destination:my-fh-delivery-destination

Prevenção contra o ataque do “substituto confuso” em todos os serviços

“Confused deputy” é um problema de segurança no qual uma entidade sem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.

Recomendamos usar as chaves de contexto de condição aws:SourceArnaws:SourceAccountaws:SourceOrgID,, e aws:SourceOrgPathsglobal nas políticas de recursos para limitar as permissões que o CloudWatch Logs concede a outro serviço ao recurso. Use aws:SourceArn se quiser associar apenas um recurso ao acesso entre serviços. Use aws:SourceAccount se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços. Use aws:SourceOrgID se quiser permitir que qualquer recurso de qualquer conta de uma organização seja associado ao uso entre serviços. Use aws:SourceOrgPaths se quiser associar qualquer recurso das contas em um caminho do AWS Organizations seja associado ao uso entre serviços. Para obter mais informações sobre como usar e entender os caminhos, consulte Compreender o caminho da AWS Organizations entidade.

A maneira mais eficaz de se proteger contra o problema do substituto confuso é usar a chave de contexto de condição global aws:SourceArn com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou especificar vários recursos, use a chave de condição de contexto global aws:SourceArn com caracteres curinga (*) para as partes desconhecidas do ARN. Por exemplo, .arn:aws:servicename:*:123456789012:*

Se o valor do aws:SourceArn não contiver o ID da conta, como um ARN de bucket do Amazon S3, você deverá usar ambos, a aws:SourceAccount e o aws:SourceArn para limitar as permissões.

Para se proteger do problema de "confused deputy" em grande escala, use a chave de contexto de condição global aws:SourceOrgID ou aws:SourceOrgPaths com o ID ou o caminho da organização do recurso nas políticas baseadas em recursos. As políticas que incluem a chave aws:SourceOrgID ou aws:SourceOrgPaths incluem automaticamente as contas corretas e você não tem que atualizar manualmente as políticas quando adiciona, remove ou move contas na organização.

As políticas nas seções anteriores desta página mostram como você pode usar as chaves de contexto de condição global aws:SourceArn e aws:SourceAccount para evitar o problema “confused deputy”.

CloudWatch Registra atualizações em políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do CloudWatch Logs desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página Histórico de documentos de CloudWatch registros.

Alteração Descrição Data

AWSServiceRoleForLogDelivery política de função vinculada ao serviço — atualização de uma política existente

CloudWatch Os registros alteraram as permissões na política do IAM associada à função AWSServiceRoleForLogDeliveryvinculada ao serviço. Foi feita a seguinte alteração:

  • A chave de condição firehose:ResourceTag/LogDeliveryEnabled": "true" foi alterada para aws:ResourceTag/LogDeliveryEnabled": "true".

15 de julho de 2021

CloudWatch Os registros começaram a rastrear as alterações

CloudWatch A Logs começou a rastrear as alterações em suas políticas AWS gerenciadas.

10 de junho de 2021