Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konfigurieren von Amazon MQ für ActiveMQ-Protokolle
Damit Amazon MQ Protokolle in Logs veröffentlichen kann, müssen Sie [Ihrem Amazon MQ-Benutzer eine Berechtigung hinzufügen](#security-logging-monitoring-configure-cloudwatch-permissions) und außerdem [eine ressourcenbasierte Richtlinie für Amazon MQ konfigurieren](#security-logging-monitoring-configure-cloudwatch-resource-permissions), bevor Sie den Broker erstellen oder neu starten. CloudWatch
**Anmerkung**
Wenn Sie Protokolle aktivieren und Nachrichten von der ActiveMQ-Webkonsole aus veröffentlichen, wird der Inhalt der Nachricht an die Protokolle gesendet CloudWatch und dort angezeigt.
Im Folgenden werden die Schritte zum Konfigurieren von CloudWatch Protokollen für Ihre ActiveMQ-Broker beschrieben.
**Topics**
+ [Grundlegendes zur Struktur der Protokollierung von Protokollen CloudWatch](#security-logging-monitoring-configure-cloudwatch-structure)
+ [Hinzufügen der `CreateLogGroup`-Berechtigung zu Ihrem Amazon-MQ-Benutzer](#security-logging-monitoring-configure-cloudwatch-permissions)
+ [Konfigurieren einer ressourcenbasierten Richtlinie für Amazon MQ.](#security-logging-monitoring-configure-cloudwatch-resource-permissions)
+ [Serviceübergreifende Confused-Deputy-Prävention](#security-logging-monitoring-configure-cloudwatch-confused-deputy)
## Grundlegendes zur Struktur der Protokollierung von Protokollen CloudWatch
Sie können *die allgemeine Protokollierung und die* *Audit-Protokollierung* aktivieren, wenn Sie erweiterte Broker-Einstellungen konfigurieren, wenn Sie einen Broker erstellen oder wenn Sie einen Broker bearbeiten.
Die allgemeine Protokollierung aktiviert die `INFO` Standardprotokollierungsebene (die `DEBUG` Protokollierung wird nicht unterstützt) und veröffentlicht `activemq.log` in einer Protokollgruppe in Ihrem CloudWatch Konto. Die Protokollgruppe hat ein Format, das in etwa aussieht wie folgt:
```
/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/general
```
Die [Auditprotokollierung](http://activemq.apache.org/audit-logging.html) ermöglicht die Protokollierung von Verwaltungsaktionen, die mit JMX oder der ActiveMQ Web Console durchgeführt wurden, und veröffentlicht `audit.log` sie in einer Protokollgruppe in Ihrem Konto. CloudWatch Die Protokollgruppe hat ein Format, das in etwa aussieht wie folgt:
```
/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/audit
```
Je nachdem, ob Sie einen [Single-Instance-Broker](amazon-mq-broker-architecture.md#single-broker-deployment) oder einen [Active-/Standby-Broker](amazon-mq-broker-architecture.md#active-standby-broker-deployment) für hohe Verfügbarkeit verwenden, erstellt Amazon MQ entweder einen oder zwei Protokollstreams in jeder Protokollgruppe. Die Protokollstreams haben ein Format, das in etwa aussieht wie folgt:
```
activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-1.log
activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-2.log
```
Die Suffixe `-1` und `-2` kennzeichnen einzelne Broker-Instances. Weitere Informationen finden Sie unter [Arbeiten mit Protokollgruppen und Protokollstreams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) im *[Amazon CloudWatch Logs-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*.
## Hinzufügen der `CreateLogGroup`-Berechtigung zu Ihrem Amazon-MQ-Benutzer
Damit Amazon MQ eine CloudWatch Logs-Protokollgruppe erstellen kann, müssen Sie sicherstellen, dass der Benutzer, der den Broker erstellt oder neu startet, über die entsprechenden Rechte verfügt. `logs:CreateLogGroup`
**Wichtig**
Wenn Sie die `CreateLogGroup`-Berechtigung nicht zu Ihrem Amazon MQ-Benutzer hinzufügen, bevor der Benutzer den Broker erstellt oder neu startet, wird die Protokollgruppe nicht von Amazon MQ erstellt.
Das folgende Beispiel[IAM-basierte Richtlinie](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html#identity-based-policies-cwl)Erteilen der Berechtigung für`logs:CreateLogGroup`für Benutzer, denen diese Richtlinie angehängt ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*"
}
]
}
```
------
**Anmerkung**
Hier bezieht sich der Begriff „Benutzer“ auf *Benutzer* und nicht auf *Amazon-MQ-Benutzer*, die erstellt werden, wenn ein neuer Broker konfiguriert wird. Weitere Informationen zum Einrichten von Benutzern und zum Konfigurieren von IAM-Richtlinien finden Sie unter [Identitätsverwaltung im Überblick](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_identity-management.html) im IAM-Benutzerhandbuch.
Weitere Informationen finden Sie `[CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)` in der *Amazon CloudWatch Logs API-Referenz*.
## Konfigurieren einer ressourcenbasierten Richtlinie für Amazon MQ.
**Wichtig**
Wenn Sie keine ressourcenbasierte Richtlinie für Amazon MQ konfigurieren, kann der Broker die Protokolle nicht in Logs veröffentlichen. CloudWatch
Damit Amazon MQ Protokolle in Ihrer Logs-Protokollgruppe veröffentlichen kann, konfigurieren Sie eine ressourcenbasierte Richtlinie, um Amazon MQ Zugriff auf die folgenden CloudWatch CloudWatch Logs-API-Aktionen zu gewähren:
+ `[CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html)`— Erstellt einen CloudWatch Logs-Log-Stream für die angegebene Protokollgruppe.
+ `[PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html)`— Liefert Ereignisse in den angegebenen CloudWatch Log-Log-Stream.
Die folgende ressourcenbasierte Richtlinie gewährt Berechtigungen für `logs:CreateLogStream` und `logs:PutLogEvents` für. AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "mq.amazonaws.com" },
"Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ],
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*"
}
]
}
```
------
Diese ressourcenbasierte Richtlinie *muss* mithilfe des, AWS CLI wie im folgenden Befehl gezeigt, konfiguriert werden. Im Beispiel, ersetzen Sie `us-east-1` mit Ihren eigenen Informationen.
```
aws --region us-east-1 logs put-resource-policy --policy-name AmazonMQ-logs \
--policy-document "{\"Version\": \"2012-10-17\", \"Statement\":[{ \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"mq.amazonaws.com\" },
\"Action\": [\"logs:CreateLogStream\", \"logs:PutLogEvents\"], \"Resource\": \"arn:aws:logs:*:*:log-group:\/aws\/amazonmq\/*\" }]}"
```
**Anmerkung**
Da in diesem Beispiel das `/aws/amazonmq/` Präfix verwendet wird, müssen Sie die ressourcenbasierte Richtlinie nur einmal pro AWS Konto und Region konfigurieren.
## Serviceübergreifende Confused-Deputy-Prävention
Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. In AWS kann ein dienstübergreifendes Identitätswechsels zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der Anruf-Dienst kann so manipuliert werden, dass er seine Berechtigungen verwendet, um auf die Ressourcen eines anderen Kunden zu reagieren, auf die er sonst nicht zugreifen dürfte. Um dies zu verhindern, AWS bietet Tools, mit denen Sie Ihre Daten für alle Dienste mit Dienstprinzipalen schützen können, denen Zugriff auf Ressourcen in Ihrem Konto gewährt wurde.
Wir empfehlen, die Kontextschlüssel `[aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)` und die `[aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)` globalen Bedingungsschlüssel in Ihrer ressourcenbasierten Amazon MQ MQ-Richtlinie zu verwenden, um den CloudWatch Log-Zugriff auf einen oder mehrere angegebene Broker zu beschränken.
**Anmerkung**
Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienanweisung verwendet werden.
Das folgende Beispiel zeigt eine ressourcenbasierte Richtlinie, die den CloudWatch Logs-Zugriff auf einen einzelnen Amazon MQ-Broker beschränkt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mq.amazonaws.com"
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:mq:us-west-1:123456789012:broker:my-broker:123456789012"
}
}
}
]
}
```
------
Sie können Ihre ressourcenbasierte Richtlinie auch so konfigurieren, dass der Zugriff auf CloudWatch Protokolle auf alle Broker in einem Konto beschränkt wird, wie im Folgenden dargestellt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"mq.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:mq:*:123456789012:broker:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
]
}
```
------
Weitere Informationen über das Sicherheitsproblem des verwirrten Stellvertreters finden Sie unter [Das Problem des verwirrten Stellvertreters](https://docs.aws.amazon.com/hIAM/latest/UserGuide/confused-deputy.html) im *Benutzerhandbuch*.