Logs enviados ao CloudWatch Logs - Amazon CloudWatch Logs

Logs enviados ao CloudWatch Logs

Importante

Quando você configura os tipos de log na lista a seguir a serem enviados para o CloudWatch Logs, a AWS cria ou altera as políticas de recursos associadas ao grupo de logs que recebe os logs, se necessário. Continue lendo esta seção para ver os detalhes.

Esta seção se aplica quando os tipos de logs listados na tabela na seção anterior são enviados ao CloudWatch Logs:

Permissões de usuário

Para poder configurar o envio de qualquer um desses tipos de logs ao CloudWatch Logs pela primeira vez, é necessário conectar-se a uma conta com as permissões a seguir.

  • logs:CreateLogDelivery

  • logs:PutResourcePolicy

  • logs:DescribeResourcePolicies

  • logs:DescribeLogGroups

    nota

    Quando você especificar a permissão logs:DescribeLogGroups, logs:DescribeResourcePolicies ou logs:PutResourcePolicy, certifique-se de definir o ARN da linha Resource para que use um caractere curinga *, em vez de especificar apenas um único nome de grupo de logs. Por exemplo, "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"

Se algum desses tipos de logs já estiver sendo enviado a um grupo de logs no CloudWatch Logs, para configurar o envio de outro desses tipos de logs para esse mesmo grupo de logs, apenas a permissão logs:CreateLogDelivery será necessária.

Política de recursos do grupo de logs

O grupo de logs para o qual os logs estão sendo enviados deve ter uma política de recursos que contenha determinadas permissões. Se o grupo de logs atualmente não tem uma política de recursos e o usuário que está configurando o log tem as permissões logs:PutResourcePolicy, logs:DescribeResourcePolicies e logs:DescribeLogGroups para o grupo de logs, a AWS cria automaticamente a seguinte política quando você começar a enviar os logs ao CloudWatch Logs.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}

Se o grupo de logs tem uma política de recursos, mas essa política não contém a instrução exibida na política anterior, e o usuário configurando o log tem as permissões logs:PutResourcePolicy, logs:DescribeResourcePolicies e logs:DescribeLogGroups para o grupo de logs, essa instrução é anexada à política de recursos do grupo de logs.