Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Registro que requiere permisos adicionales [V2]
Algunos AWS servicios utilizan un método nuevo para enviar sus registros. Se trata de un método flexible que le permite configurar la entrega de registros desde estos servicios a uno o más de los siguientes destinos: CloudWatch Logs, Amazon S3 o Firehose and X-Ray para la entrega de trazas.
La entrega de un registro funcional consta de tres elementos:
+ Una `DeliverySource`, que es un objeto lógico que representa el recurso que realmente envía los registros.
+ Un `DeliveryDestination`, que es un objeto lógico que representa el destino de entrega real.
+ Un `Delivery`, que conecta un origen de entrega con el destino de la entrega.
Para configurar la entrega de registros entre un AWS servicio compatible y un destino, debe hacer lo siguiente:
+ Cree una fuente de entrega con [PutDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html).
+ Cree un destino de entrega con [PutDeliveryDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestination.html).
+ Si va a entregar registros entre cuentas, debe utilizarlos [ PutDeliveryDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestinationPolicy.html)en la cuenta de destino para asignar una IAM política al destino. Esta política autoriza la creación de una entrega desde el origen de entrega de la cuenta A hasta el destino de la entrega en la cuenta B. En el caso de las entregas entre cuentas, debe crear manualmente las políticas de permisos.
+ Cree una entrega combinando exactamente una fuente de entrega y un destino de entrega, utilizando [ CreateDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateDelivery.html).
En las siguientes secciones, se brindan detalles de los permisos que debe tener al iniciar sesión para configurar la entrega de registros en cada tipo de destino, mediante el proceso V2. Estos permisos se pueden conceder a un rol de IAM con el que haya iniciado sesión.
**importante**
Es su responsabilidad eliminar los recursos de entrega de registros después de eliminar el recurso que genera los registros. Para ello, siga estos pasos.
Elimine el `Delivery` mediante la [DeleteDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDelivery.html)operación.
Elimine el `DeliverySource` mediante la [DeleteDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDeliverySource.html)operación.
Si el `DeliveryDestination` elemento asociado al `DeliverySource` que acaba de eliminar se usa solo para este `DeliverySource` propósito específico, puede eliminarlo mediante la [DeleteDeliveryDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDeliveryDestinations.html)operación.
**Contents**
+ [Registros enviados a CloudWatch Logs](AWS-logs-infrastructure-V2-CloudWatchLogs.md)
+ [Registros enviados a Amazon S3](AWS-logs-infrastructure-V2-S3.md)
+ [Amazon S3](AWS-logs-infrastructure-V2-S3.md#AWS-logs-SSE-KMS-S3-V2)
+ [Registros enviados a Firehose](AWS-logs-infrastructure-V2-Firehose.md)
+ [Registros enviados a X-Ray](AWS-logs-infrastructure-V2-XRayTraces.md)
# Registros enviados a CloudWatch Logs
**Permisos de usuario**
Para habilitar el envío de CloudWatch registros a Logs, debe iniciar sesión con los siguientes permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:444455556666:delivery-source:*",
"arn:aws:logs:us-east-1:777788889999:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyCWL",
"Effect": "Allow",
"Action": [
"logs:PutResourcePolicy",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:*"
]
}
]
}
```
------
**Política de recursos del grupo de registro**
El grupo de registro al que se envían los registros debe tener una política de recursos que incluya determinados permisos. Si el grupo de registros actualmente no tiene una política de recursos y el usuario que configura el registro tiene los `logs:PutResourcePolicy` `logs:DescribeLogGroups` permisos y los permisos para el grupo de registros, crea AWS automáticamente la siguiente política para él cuando comience a enviar los CloudWatch registros a Logs. `logs:DescribeResourcePolicies` En el caso de las suscripciones recién creadas, las políticas de recursos se configuran a nivel de grupo de registros y tienen un tamaño máximo de 51 200 bytes. Si una política de recursos a nivel de cuenta existente ya concede permisos mediante caracteres comodín, no se crearía una política independiente a nivel de grupo de registros. Para comprobar la política de recursos a nivel de grupo de registros para un grupo de registros específico, utilice el `describe-resource-policies` comando con el `--resource-arn` parámetro establecido en el ARN del grupo de registros y el parámetro establecido en. `--policy-scope` `RESOURCE`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
El límite de la política de recursos del grupo de registros es de 51.200 bytes. Una vez alcanzado este límite, AWS no podrá añadir nuevos permisos. Esto requiere que los clientes modifiquen manualmente la política para conceder al `delivery.logs.amazonaws.com` servicio los permisos principales sobre las `logs:PutLogEvents` acciones `logs:CreateLogStream` y. Los clientes deben usar un prefijo de nombre de grupo de registros con caracteres comodín como, por ejemplo, `/aws/vendedlogs/*` y usar este nombre de grupo de registros para futuras creaciones de Delivery.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
# Registros enviados a Amazon S3
**Permisos de usuario**
Para habilitar el envío de registros a Amazon S3, debe iniciar sesión con los siguientes permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:111122223333:delivery-source:*",
"arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyS3",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::bucket-name"
}
]
}
```
------
El bucket de S3 al que se envían los registros debe tener una política de recursos que incluya determinados permisos. Si el bucket actualmente no tiene una política de recursos, y el usuario que configura el registro tiene los permisos `S3:GetBucketPolicy` y `S3:PutBucketPolicy` para el bucket, AWS crea automáticamente la siguiente política cuando empiece a enviar los registros a Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "AWSLogDeliveryWrite20150319",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/account-ID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:delivery-source:*"
]
}
}
}
]
}
```
------
En la política anterior, para `aws:SourceAccount`, especifique la lista de ID de cuenta para los que se entregan los registros a este bucket. Para `aws:SourceArn` ello, especifique la lista ARNs del recurso que genera los registros, en el formulario. `arn:aws:logs:source-region:source-account-id:*`
Si el bucket tiene una política de recursos, pero esa política no contiene la instrucción que se muestra en la política anterior, y el usuario que configura el registro tiene los permisos `S3:GetBucketPolicy` y `S3:PutBucketPolicy` para el bucket, esa instrucción se anexa a la política de recursos del bucket.
**nota**
En algunos casos, es posible que veas `AccessDenied` errores AWS CloudTrail si no se ha concedido el `s3:ListBucket` permiso`delivery.logs.amazonaws.com`. Para evitar estos errores en sus CloudTrail registros, debe conceder el `s3:ListBucket` permiso `delivery.logs.amazonaws.com` e incluir `Condition` los parámetros que se muestran con el conjunto de `s3:GetBucketAcl` permisos en la política de bucket anterior. Para simplificar esto, en lugar de crear una nueva `Statement`, puede actualizar directamente `AWSLogDeliveryAclCheck` para que sea `“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]`
## Uso de cifrado del servidor del bucket de Amazon S3
Puede proteger los datos de su bucket de Amazon S3 habilitando el cifrado del lado del servidor con claves administradas por Amazon S3 (SSE-S3) o el cifrado del lado del servidor con una clave almacenada en (SSE-KMS). AWS KMS AWS Key Management Service Para obtener más información, consulte [Protección de los datos con el cifrado del servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html).
Si elige SSE-S3, no se requiere ninguna configuración adicional. Amazon S3 se encarga de la clave de cifrado.
**aviso**
Si elige SSE-KMS, debe usar una clave administrada por el cliente, ya que no se admite el uso de una clave administrada en este escenario. AWS Si configura el cifrado con una clave AWS administrada, los registros se entregarán en un formato ilegible.
Cuando utilizas una AWS KMS clave gestionada por el cliente, puedes especificar el nombre de recurso de Amazon (ARN) de la clave gestionada por el cliente al activar el cifrado de buckets. Debe agregar lo siguiente a la política de clave para la clave administrada por el cliente (no a la política del bucket para el bucket de S3), de modo que la cuenta de entrega de registros pueda escribir en el bucket de S3.
Si elige SSE-KMS, debe utilizar una clave administrada por el cliente, ya que el uso de una clave administrada de AWS no se admite en este contexto. Cuando utilizas una AWS KMS clave gestionada por el cliente, puedes especificar el nombre de recurso de Amazon (ARN) de la clave gestionada por el cliente al activar el cifrado de buckets. Debe agregar lo siguiente a la política de clave para la clave administrada por el cliente (no a la política del bucket para el bucket de S3), de modo que la cuenta de entrega de registros pueda escribir en el bucket de S3.
```
{
"Sid": "Allow Logs Delivery to use the key",
"Effect": "Allow",
"Principal": {
"Service": [ "delivery.logs.amazonaws.com" ]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["0123456789"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-1:0123456789:delivery-source:*"]
}
}
}
```
Para `aws:SourceAccount`, especifique la lista de ID de cuenta para los que se entregan los registros a este bucket. Para `aws:SourceArn` ello, especifique la lista ARNs del recurso que genera los registros, en el formulario`arn:aws:logs:source-region:source-account-id:*`.
# Registros enviados a Firehose
**Permisos de usuario**
Para habilitar el envío de registros a Firehose, debe iniciar sesión con los siguientes permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:111122223333:delivery-source:*",
"arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyFH",
"Effect": "Allow",
"Action": [
"firehose:TagDeliveryStream"
],
"Resource": [
"arn:aws:firehose:us-east-1:111122223333:deliverystream/*"
]
},
{
"Sid": "CreateServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery"
}
]
}
```
------
**Roles de IAM utilizados para permisos de recursos**
Como Firehose no usa políticas de recursos, AWS usa roles de IAM al configurar estos registros para enviarlos a Firehose. AWS crea un rol vinculado a un servicio denominado. **AWSServiceRoleForLogDelivery** Este rol vinculado a un servicio incluye los siguientes permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:ListTagsForDeliveryStream"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/LogDeliveryEnabled": "true"
}
},
"Effect": "Allow"
}
]
}
```
------
Esta función vinculada al servicio concede permisos para todas las transmisiones de entrega de Firehose que tengan la `LogDeliveryEnabled` etiqueta establecida en. `true` AWS asigna esta etiqueta al flujo de entrega de destino cuando configuras el registro.
Este rol vinculado a un servicio también tiene una política de confianza que permite que la entidad principal de servicio `delivery.logs.amazonaws.com` asuma el rol vinculado al servicio necesario. Esta política de confianza es la siguiente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Registros enviados a X-Ray
**Permisos de usuario**
Para habilitar el envío de seguimientos a AWS X-Ray, debe iniciar sesión con los siguientes permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:111122223333:delivery-source:*",
"arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyXRay",
"Effect": "Allow",
"Action": [
"xray:PutResourcePolicy",
"xray:ListResourcePolicies",
"xray:GetTraceSegmentDestination"
],
"Resource": "*"
}
]
}
```
------
**Política de recursos de X-Ray**
La cuenta de destino a la que se envían los registros debe tener una política de recursos que incluya determinados permisos. Cuando el usuario que configura el rastreo tiene `xray:PutResourcePolicy` `xray:ListResourcePolicies` permisos en la cuenta, crea AWS automáticamente la política de recursos al comenzar a enviar rastreos a X-Ray. La política que se crea depende del servicio de origen:
**Amazon Bedrock AgentCore resources**
AWS crea una política de recursos por tipo de recurso. La política utiliza patrones comodín que se limitan a los límites de la cuenta y abarcan todos los recursos del mismo tipo de Amazon Bedrock AgentCore recurso de la cuenta. Por ejemplo, si un recurso de *Amazon Bedrock AgentCorememoria* está habilitado para la entrega de trazas, la política cubre todos los recursos de memoria de esa cuenta, incluidos los recursos de memoria que se creen en el futuro.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "xray:PutTraceSegments",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ForAllValues:ArnLike": {
"logs:LogGeneratingResourceArns": "arn:aws:bedrock-agentcore:us-east-1:123456789012:memory/*"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:delivery-source:*"
}
}
}
]
}
```
**Otros AWS servicios**
Para otros servicios que admiten el envío de rastreos, AWS crea una política de recursos que se limita al recurso de origen específico.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "xray:PutTraceSegments",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ForAllValues:ArnLike": {
"logs:LogGeneratingResourceArns": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:delivery-source:xray-test"
}
}
}
]
}
```
**Habilita la búsqueda de transacciones**
Para habilitar el envío de registros a X-Ray, debe habilitar la [búsqueda de transacciones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Enable-Lambda-TransactionSearch.html).