Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configuración de registros de Amazon MQ para ActiveMQ
Para permitir que Amazon MQ publique registros en Logs, debe [añadir un permiso a su usuario de Amazon MQ](#security-logging-monitoring-configure-cloudwatch-permissions) y [configurar una política basada en recursos para Amazon MQ](#security-logging-monitoring-configure-cloudwatch-resource-permissions) antes de crear o reiniciar el agente. CloudWatch
**nota**
Al activar los registros y publicar mensajes desde la consola web ActiveMQ, el contenido del mensaje se envía CloudWatch a los registros y se muestra en ellos.
A continuación, se describen los pasos para configurar CloudWatch los registros de sus agentes de ActiveMQ.
**Topics**
+ [Comprensión de la estructura del inicio de sesión en los registros CloudWatch](#security-logging-monitoring-configure-cloudwatch-structure)
+ [Agregar el permiso `CreateLogGroup` a su usuario de Amazon MQ](#security-logging-monitoring-configure-cloudwatch-permissions)
+ [Configurar una política basada en recursos para Amazon MQ.](#security-logging-monitoring-configure-cloudwatch-resource-permissions)
+ [Prevención de la sustitución confusa entre servicios](#security-logging-monitoring-configure-cloudwatch-confused-deputy)
## Comprensión de la estructura del inicio de sesión en los registros CloudWatch
Puede habilitar registros *generales* y de *auditoría* cuando defina las opciones de configuración avanzada del agente o cuando edite un agente.
El registro general habilita el nivel de `INFO` registro predeterminado (no se admite el `DEBUG` registro) y se publica `activemq.log` en un grupo de registros de tu CloudWatch cuenta. El grupo de registros tiene un formato similar al siguiente:
```
/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/general
```
El [registro de auditoría](http://activemq.apache.org/audit-logging.html) permite registrar las acciones de administración realizadas mediante JMX o la consola web ActiveMQ y las `audit.log` publica en un grupo de registros de su cuenta. CloudWatch El grupo de registros tiene un formato similar al siguiente:
```
/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/audit
```
Dependiendo de si tiene un [agente de una sola instancia](amazon-mq-broker-architecture.md#single-broker-deployment) o un [agente activo/en espera](amazon-mq-broker-architecture.md#active-standby-broker-deployment), Amazon MQ crea uno o dos flujos de registro en cada grupo de registros. Los flujos de registros tienen un formato similar al siguiente.
```
activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-1.log
activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-2.log
```
Los sufijos `-1` y `-2` indican instancias de agentes individuales. Para obtener más información, consulte [Trabajar con grupos de registros y transmisiones](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) de *[ CloudWatch registros en la Guía del usuario de Amazon Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*.
## Agregar el permiso `CreateLogGroup` a su usuario de Amazon MQ
Para permitir que Amazon MQ cree un grupo de CloudWatch registros, debe asegurarse de que el usuario que crea o reinicia el corredor tiene el permiso. `logs:CreateLogGroup`
**importante**
Si no agrega el permiso `CreateLogGroup` a su usuario de Amazon MQ antes de que el usuario cree o reinicie el agente, Amazon MQ no crea el grupo de registros.
El siguiente ejemplo de [política basada en IAM](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html#identity-based-policies-cwl) concede permiso para`logs:CreateLogGroup` a los usuarios a los que se les asocia esta política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*"
}
]
}
```
------
**nota**
Aquí, el término usuario se refiere a *usuarios*, no a *usuarios de Amazon MQ*, que se crean cuando se configura un nuevo agente. Para obtener más información acerca de la configuración de usuarios y de políticas de IAM, consulte la sección [Información general sobre administración de identidades](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_identity-management.html) de la Guía del usuario de IAM.
Para obtener más información, consulta `[CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)` la *referencia de la API CloudWatch de Amazon Logs*.
## Configurar una política basada en recursos para Amazon MQ.
**importante**
Si no configuras una política basada en recursos para Amazon MQ, el agente no podrá publicar los registros en Logs. CloudWatch
Para permitir que Amazon MQ publique registros en su grupo de registros de CloudWatch Logs, configure una política basada en recursos para dar a Amazon MQ acceso a las siguientes acciones de la API de Logs: CloudWatch
+ `[CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html)`— Crea un flujo de CloudWatch registros para el grupo de registros especificado.
+ `[PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html)`— Envía los eventos al flujo de registro de CloudWatch registros especificado.
La siguiente política basada en recursos otorga permisos para `logs:CreateLogStream` y `logs:PutLogEvents` para. AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "mq.amazonaws.com" },
"Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ],
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*"
}
]
}
```
------
Esta política basada en recursos *debe* configurarse mediante el AWS CLI siguiente comando. En el ejemplo, reemplace `us-east-1` por su propia información.
```
aws --region us-east-1 logs put-resource-policy --policy-name AmazonMQ-logs \
--policy-document "{\"Version\": \"2012-10-17\", \"Statement\":[{ \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"mq.amazonaws.com\" },
\"Action\": [\"logs:CreateLogStream\", \"logs:PutLogEvents\"], \"Resource\": \"arn:aws:logs:*:*:log-group:\/aws\/amazonmq\/*\" }]}"
```
**nota**
Como en este ejemplo se usa el `/aws/amazonmq/` prefijo, debe configurar la política basada en recursos solo una vez por cuenta y por región. AWS
## Prevención de la sustitución confusa entre servicios
El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS, la suplantación de identidad entre servicios puede provocar el confuso problema de un diputado. La suplantación entre servicios puede producirse cuando un servicio (el *servicio que lleva a cabo las llamadas*) llama a otro servicio (el *servicio al que se llama*). El servicio que lleva a cabo las llamadas se puedes manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente de una manera en la que no debe tener permiso para acceder. Para evitarlo, AWS proporciona herramientas que le ayudan a proteger los datos de todos los servicios cuyos directores de servicio tengan acceso a los recursos de su cuenta.
Te recomendamos que utilices las claves de contexto de condición `[aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)` global `[aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)` y las claves de contexto de condición global en tu política basada en recursos de Amazon MQ para limitar el acceso a CloudWatch los registros a uno o más corredores específicos.
**nota**
Si se utilizan ambas claves contextuales de condición global, el valor `aws:SourceAccount` y la cuenta del valor `aws:SourceArn` deben utilizar el mismo ID de cuenta cuando se utilicen en la misma declaración de política.
El siguiente ejemplo muestra una política basada en recursos que limita el acceso a CloudWatch Logs a un único agente de Amazon MQ.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mq.amazonaws.com"
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:mq:us-west-1:123456789012:broker:my-broker:123456789012"
}
}
}
]
}
```
------
También puede configurar su política basada en recursos para limitar el acceso a CloudWatch los registros a todos los corredores de una cuenta, como se muestra a continuación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"mq.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:mq:*:123456789012:broker:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
]
}
```
------
Para obtener más información sobre el problema de seguridad del suplente confuso, consulte [El problema del suplente confuso](https://docs.aws.amazon.com/hIAM/latest/UserGuide/confused-deputy.html) en la *Guía del usuario*.