View a markdown version of this page

Los registros se envían a CloudWatch Logs - Amazon CloudWatch Logs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Los registros se envían a CloudWatch Logs

importante

Al configurar los tipos de registro de la siguiente lista para que se envíen a CloudWatch Logs, AWS crea o cambia las políticas de recursos asociadas al grupo de registros que recibe los registros, si es necesario. Siga leyendo esta sección para ver los detalles.

Esta sección se aplica cuando los tipos de registros enumerados en la tabla de la sección anterior se envían a CloudWatch Logs:

Permisos de usuario

Para poder configurar el envío de cualquiera de estos tipos de CloudWatch registros a Logs por primera vez, debe iniciar sesión en una cuenta con los siguientes permisos.

  • logs:CreateLogDelivery

  • logs:PutResourcePolicy

  • logs:DescribeResourcePolicies

  • logs:DescribeLogGroups

    nota

    Cuando especifique el permiso logs:DescribeLogGroups, logs:DescribeResourcePolicies o logs:PutResourcePolicy, asegúrese de configurar el ARN de su línea Resource para que utilice un comodín *, en lugar de especificar solo un nombre de grupo de registro. Por ejemplo, "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"

Si alguno de estos tipos de registros ya se está enviando a un grupo de CloudWatch registros de Logs, solo necesitará el logs:CreateLogDelivery permiso para configurar el envío de otro de estos tipos de registros a ese mismo grupo de registros.

Política de recursos del grupo de registro

El grupo de registro al que se envían los registros debe tener una política de recursos que incluya determinados permisos. Si el grupo de registros actualmente no tiene una política de recursos y el usuario que configura el registro tiene los logs:PutResourcePolicy logs:DescribeLogGroups permisos y los permisos para el grupo de registros, creará AWS automáticamente la siguiente política para dicho grupo cuando comience a enviar los CloudWatch registros a Logs. logs:DescribeResourcePolicies En el caso de las suscripciones recién creadas, las políticas de recursos se configuran a nivel de grupo de registros y tienen un tamaño máximo de 51 200 bytes. Si una política de recursos a nivel de cuenta existente ya concede permisos mediante caracteres comodín, no se crearía una política independiente a nivel de grupo de registros. Para comprobar la política de recursos a nivel de grupo de registros para un grupo de registros específico, utilice el describe-resource-policies comando con el --resource-arn parámetro establecido en el ARN del grupo de registros y el parámetro establecido en. --policy-scope RESOURCE

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}

El límite de la política de recursos del grupo de registros es de 51.200 bytes. Una vez alcanzado este límite, AWS no podrá añadir nuevos permisos. Esto requiere que los clientes modifiquen manualmente la política para conceder al delivery.logs.amazonaws.com servicio los permisos principales sobre las logs:PutLogEvents acciones logs:CreateLogStream y. Los clientes deben usar un prefijo de nombre de grupo de registros con caracteres comodín como, por ejemplo, /aws/vendedlogs/* y usar este nombre de grupo de registros para futuras creaciones de Delivery.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}