As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Documento de política de funções CloudTrail para usar CloudWatch registros para monitoramento Esta seção descreve a política de permissões necessária para que a CloudTrail função envie eventos de registro para o CloudWatch Logs. Você pode anexar um documento de política a uma função CloudTrail ao configurar o envio de eventos, conforme descrito em[Enviando eventos para o CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md). Você também pode criar uma função usando o IAM. Para obter mais informações, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) ou [Criar um perfil do IAM (AWS CLI)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html#roles-creatingrole-user-cli). O exemplo de documento de política a seguir contém as permissões necessárias para criar um fluxo de CloudWatch registros no grupo de registros que você especifica e para entregar CloudTrail eventos a esse fluxo de registros na região Leste dos EUA (Ohio). (Essa é a política padrão da função padrão do IAM `CloudTrail_CloudWatchLogs_Role`.) ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] } ] } ``` ------ Se você criar uma política que também pode ser usada para trilhas da organização, será necessário modificá-la na política padrão criada para a função. Por exemplo, a política a seguir concede CloudTrail as permissões necessárias para criar um stream de CloudWatch registros de registros no grupo de registros que você especifica como valor e para entregar CloudTrail eventos a esse fluxo de *log\$1group\$1name* registros para as trilhas na AWS conta 111111111111 e para as trilhas da organização criadas na conta 111111111111 que são aplicadas à organização com o ID de: AWS Organizations *o-exampleorgid* ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*" ] } ] } ``` ------ Para obter mais informações sobre trilhas da organização, consulte [Criar uma trilha para uma organização](creating-trail-organization.md).