Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Activer la journalisation à partir AWS des services
Alors que de nombreux services publient des CloudWatch journaux uniquement dans Logs, certains AWS services peuvent publier des journaux directement sur Amazon Simple Storage Service ou Amazon Data Firehose. Si votre principale exigence en matière de journaux est le stockage ou le traitement dans l'un de ces services, vous pouvez facilement demander au service qui produit les journaux de les envoyer directement à Amazon S3 ou Firehose sans configuration supplémentaire.
Même lorsque vous publiez des journaux directement sur Amazon S3 ou Firehose, des frais de CloudWatch livraison s'appliquent. Si vous envoyez des journaux à Amazon S3, les `AWS_REGION-S3-Egress-Bytes` frais apparaissent dans Cost Explorer ou sur votre facture. Si vous envoyez des journaux à Firehose, des `AWS_REGION-FH-Egress-Bytes` frais apparaissent. Pour plus d'informations sur la tarification des journaux vendus, consultez l'onglet **Journaux** [sur Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/).
Certains AWS services utilisent une infrastructure commune pour envoyer leurs journaux. Pour activer la journalisation à partir de ces services, vous devez être connecté en tant qu'utilisateur disposant de certaines autorisations. En outre, vous devez accorder des autorisations AWS pour permettre l'envoi des journaux.
Pour les services qui exigent ces autorisations, il existe deux versions des autorisations nécessaires. Les services qui exigent ces autorisations supplémentaires sont indiqués comme étant **Pris en charge [Autorisations V1]** et **Pris en charge [Autorisations V2]** dans le tableau. Pour plus d'informations sur ces autorisations requises, consultez les sections situées après le tableau.
| Source des journaux | Type de journal | [Logs envoyés à CloudWatch Logs](AWS-logs-infrastructure-CWL.md) | [Journaux envoyés à Amazon S3](AWS-logs-infrastructure-S3.md) | [Logs envoyés à Firehose](AWS-logs-infrastructure-Firehose.md) | [Traces envoyées à X-Ray](AWS-logs-infrastructure-V2-XRayTraces.md) |
| --- | --- | --- | --- | --- | --- |
| [ Journaux d'accès Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | | | |
| [AWS AppSync journaux](https://docs.aws.amazon.com/appsync/latest/devguide/monitoring.html) | Journaux personnalisés | Pris en charge | | | |
| [ Journaux Amazon Aurora MySQL](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) | Journaux personnalisés | Pris en charge | | | |
| [Amazon Bedrock Journalisation des bases de connaissances](https://docs.aws.amazon.com/bedrock/latest/userguide/knowledge-bases-logging.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [Amazon Bedrock Journalisation de l'agent](https://docs.aws.amazon.com/bedrock/latest/userguide/model-invocation-logging.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [Amazon Bedrock AgentCore Exécution](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/agents-tools-runtime.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) |
| [Amazon Bedrock AgentCore Passerelle](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/gateway.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) |
| [Amazon Bedrock AgentCore Identité](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/identity.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) |
| [Amazon Bedrock AgentCore Mémoire](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/memory.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) |
| [Amazon Bedrock AgentCore Outils](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/built-in-tools.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) |
| [ Journaux de métriques de qualité multimédia Amazon Chime et journaux de messages SIP](https://docs.aws.amazon.com/chime/latest/ag/monitoring-cloudwatch.html#cw-logs) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | | | |
| [ CloudFront: journaux d'accès](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [AWS CloudHSM journaux d'audit](https://docs.aws.amazon.com/cloudhsm/latest/userguide/get-hsm-audit-logs-using-cloudwatch.html) | Journaux personnalisés | Pris en charge | | | |
| [ CloudWatch De toute évidence, journaux des événements d'évaluation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Evidently-datastorage.html#CloudWatch-Evidently-datastorage-logformat) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | | |
| [ CloudWatch Journaux du moniteur Internet](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-IM-view-cw-tools.S3_athena.html) | Journaux vended | | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | | |
| [ CloudTrail journaux](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/monitor-cloudtrail-log-files-with-cloudwatch-logs.html) | Journaux personnalisés | Pris en charge | | | |
| [AWS CodeBuild journaux](https://docs.aws.amazon.com/codebuild/latest/userguide/getting-started-build-log-console.html) | Journaux personnalisés | Pris en charge | | | |
| [Amazon CodeWhisperer journaux d'événements](https://docs.aws.amazon.com/eventbridge/latest/ref/events-ref-codewhisperer.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [Amazon Cognito journaux](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | | | |
| [Journaux Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/logging-and-monitoring.html) | Journaux personnalisés | Pris en charge | | | |
| [AWS DataSync journaux](https://docs.aws.amazon.com/datasync/latest/userguide/monitor-datasync.html#cloudwatchlogs) | Journaux personnalisés | Pris en charge | | | |
| [Agent AWS DevOps journaux](https://docs.aws.amazon.com/devopsagent/latest/userguide/configuring-capabilities-for-aws-devops-agent-vended-logs-and-metrics.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [Journaux Amazon ElastiCache (Redis OSS)](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Log_Delivery.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | |
| [AWS Elastic Beanstalk Journaux](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudwatchlogs.html) | Journaux personnalisés | Pris en charge | | | |
| [ Journaux Amazon Elastic Container Service](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_cloudwatch_logs.html) | Journaux personnalisés | Pris en charge | | | |
| [Journaux du mode automatique d'Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/eks/latest/userguide/auto-managed-component-logs.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [ Journaux de plan de contrôle d'Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html) | Journaux vended | Pris en charge | | | |
| [AWS Elemental MediaPackage journaux d'accès](https://docs.aws.amazon.com/mediapackage/latest/ug/access-logging.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [AWS Elemental MediaTailor journaux](https://docs.aws.amazon.com/mediatailor/latest/ug/monitoring-cw-logs.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [Résolution des entités AWS Journaux](https://docs.aws.amazon.com/entityresolution/latest/userguide/what-is-service.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [Amazon EventBridge Enregistrement des canalisations](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-pipes-logs.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | |
| [Amazon EventBridge bus événementiels](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-pipes-logs.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [AWS Fargate Journaux](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html) | Journaux personnalisés | Pris en charge | | | |
| [Journaux d'expériences AWS Fault Injection Service](https://docs.aws.amazon.com/fis/latest/userguide/monitoring-logging.html) | Journaux vended | | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | | |
| [Amazon FinSpace](https://docs.aws.amazon.com/finspace/latest/userguide/finspace-what-is.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | |
| [AWS Global Accelerator journaux de flux](https://docs.aws.amazon.com/global-accelerator/latest/dg/monitoring-global-accelerator.flow-logs.html) | Journaux vended | | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | | |
| [AWS Glue journaux de tâches](https://docs.aws.amazon.com/glue/latest/dg/monitor-continuous-logging.html) | Journaux personnalisés | Pris en charge | | | |
| [Journaux d'erreurs d'IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/logging-ad-sync-errors.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [ Journaux de conversation Amazon Interactive Video Service](https://docs.aws.amazon.com/ivs/latest/LowLatencyUserGuide/chat-logging.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | |
| [AWS IoT Journaux](https://docs.aws.amazon.com/iot/latest/developerguide/cloud-watch-logs.html) | Journaux personnalisés | Pris en charge | | | |
| [AWS IoT FleetWise journaux](https://docs.aws.amazon.com/iot-fleetwise/latest/developerguide/logging-cw.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | |
| [AWS Lambda Journaux](https://docs.aws.amazon.com/lambda/latest/dg/monitoring-cloudwatchlogs.html) | Journaux vended | Pris en charge | Pris en charge | Pris en charge | |
| [ Journaux Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/discovery-jobs-monitor-cw-logs.html) | Journaux personnalisés | Pris en charge | | | |
| [Journaux Amazon SES](https://docs.aws.amazon.com/ses/latest/dg/eb-logging.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [AWS Mainframe Modernization](https://docs.aws.amazon.com/m2/latest/userguide/what-is-m2.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | |
| [ Journaux Amazon Managed Service for Prometheus](https://docs.aws.amazon.com/prometheus/latest/userguide/CW-logs.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | | | |
| [ Journaux de l'agent Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/msk-logging.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | |
| [ Journaux Amazon MSK Connect](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-logging.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | |
| [Journaux Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html) | Journaux personnalisés | Pris en charge | | | |
| [AWS Journaux du Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | |
| [AWS Journaux du proxy Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/proxy-logging-and-monitoring.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [ Journaux d'accès de Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-access-logs.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [ OpenSearch journaux](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html) | Journaux personnalisés | Pris en charge | | | |
| [Journaux d'ingestion d'Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/monitoring-pipeline-logs.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | |
| Journaux [AWS PCS](https://docs.aws.amazon.com/pcs/latest/userguide/monitoring-overview.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [Journaux du connecteur Amazon Q Business](https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/connectors-list.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [Journaux de conversation Amazon Q Business](https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/cw-logs-enable-logging.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [Journaux de discussion et de commentaires Amazon Quick](https://docs.aws.amazon.com/quicksuite/latest/userguide/monitoring-quicksuite-chat-feedback-cloudwatch.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [Journaux ServicePostgre SQL de la base de données relationnelle Amazon](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.PostgreSQL.html#USER_LogAccess.PostgreSQL.PublishtoCloudWatchLogs) | Journaux personnalisés | Pris en charge | | | |
| AWS Bûches en [tissu RTB](https://docs.aws.amazon.com/rtb-fabric/latest/userguide/what-is-rtb-fabric.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [AWS Security Hub (CSPM)](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | | | |
| [ Journaux des requêtes DNS publiques Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/logging-monitoring.html) | Journaux vended | Pris en charge | | | |
| [ Journaux de requête Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs-choosing-target-resource.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | | |
| [Événements Amazon SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/logging-cloudwatch.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | | | |
| [Événements destinés aux employés d'Amazon SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/workteam-private-tracking.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | | | |
| [AWS Journaux VPN de site à site](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-logs.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | |
| [Journaux d'Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/dg/eb-logging.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [ Journaux Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/sms_stats_cloudwatch.html#sns-viewing-cloudwatch-logs) | Journaux personnalisés | Pris en charge | | | |
| [ Journaux des politiques de protection des données d'Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-operations.html) | Journaux personnalisés | Pris en charge | | | |
| [ Fichiers de flux de données des instances Spot EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/spot-data-feeds.html) | Journaux vended | | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | | |
| [AWS Step Functions Journaux Express Workflow et Standard Workflow](https://docs.aws.amazon.com/step-functions/latest/dg/cw-logs.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | | | |
| [ Journaux d'audit et journaux d'état de Storage Gateway](https://docs.aws.amazon.com/storagegateway/latest/userguide/monitoring-file-gateway.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | | | |
| [AWS Transfer Family journaux](https://docs.aws.amazon.com/transfer/latest/userguide/structured-logging.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | |
| [Accès vérifié par AWS journaux](https://docs.aws.amazon.com/verified-access/latest/ug/access-logs.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | |
| [ Journaux de flux d'Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html) | Journaux vended | Pris en charge | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | |
| [Journaux d'accès Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/monitoring-access-logs.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | |
| [Serveur de routage Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/dynamic-routing-route-server.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
| [AWS WAF Journaux](https://docs.aws.amazon.com/waf/latest/developerguide/logging-destinations.html) | Journaux vended | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | [Pris en charge [Autorisations V1]](AWS-vended-logs-permissions.md) | Pris en charge | |
| [Amazon WorkMail journaux d'audit](https://docs.aws.amazon.com/workmail/latest/adminguide/monitoring-audit-logging.html) | Journaux vended | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | [Pris en charge [Autorisations V2]](AWS-vended-logs-permissions-V2.md) | |
# Journalisation nécessitant des autorisations supplémentaires [V1]
Certains AWS services utilisent une infrastructure commune pour envoyer leurs CloudWatch journaux à Logs, Amazon S3 ou Firehose. Pour permettre aux AWS services répertoriés dans le tableau précédent d'envoyer leurs journaux vers ces destinations, vous devez être connecté en tant qu'utilisateur disposant de certaines autorisations.
En outre, des autorisations doivent être accordées AWS pour permettre l'envoi des journaux. AWS peut créer automatiquement ces autorisations lors de la configuration des journaux, ou vous pouvez les créer vous-même avant de configurer la journalisation. Pour la livraison entre comptes, vous devez créer vous-même les politiques d'autorisation manuellement.
Si vous choisissez de configurer AWS automatiquement les autorisations et les politiques de ressources nécessaires lorsque vous ou un membre de votre organisation configurez l'envoi des journaux pour la première fois, l'utilisateur qui configure l'envoi des journaux doit disposer de certaines autorisations, comme expliqué plus loin dans cette section. Vous pouvez également créer les politiques de ressources vous-même, de sorte que les utilisateurs qui configurent l'envoi des journaux n'ont pas besoin d'autant d'autorisations.
Les rubriques suivantes fournissent plus de détails pour chacune de ces destinations.
**Topics**
+ [Logs envoyés à CloudWatch Logs](AWS-logs-infrastructure-CWL.md)
+ [Journaux envoyés à Amazon S3](AWS-logs-infrastructure-S3.md)
+ [Logs envoyés à Firehose](AWS-logs-infrastructure-Firehose.md)
# Logs envoyés à CloudWatch Logs
**Important**
Lorsque vous configurez les types de journaux dans la liste suivante à envoyer à CloudWatch Logs, vous AWS créez ou modifiez les politiques de ressources associées au groupe de journaux recevant les journaux, si nécessaire. Continuez à lire cette section pour voir les détails.
Cette section s'applique lorsque les types de journaux répertoriés dans le tableau de la section précédente sont envoyés à CloudWatch Logs :
**Autorisations des utilisateurs**
Pour pouvoir configurer l'envoi de l'un de ces types de CloudWatch journaux à Logs pour la première fois, vous devez être connecté à un compte avec les autorisations suivantes.
+ `logs:CreateLogDelivery`
+ `logs:PutResourcePolicy`
+ `logs:DescribeResourcePolicies`
+ `logs:DescribeLogGroups`
**Note**
Lorsque vous spécifiez l'autorisation `logs:DescribeLogGroups``logs:DescribeResourcePolicies`, ou l'`logs:PutResourcePolicy`autorisation, veillez à définir l'ARN de sa `Resource` ligne de manière à utiliser un `*` caractère générique, au lieu de ne spécifier qu'un seul nom de groupe de journaux. Par exemple, `"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"`
Si l'un de ces types de journaux est déjà envoyé à un groupe de CloudWatch journaux dans Logs, vous n'avez besoin que de l'`logs:CreateLogDelivery`autorisation pour configurer l'envoi d'un autre de ces types de journaux à ce même groupe de journaux.
**Politique de ressources du groupe de journaux**
Le groupe de journaux dans lequel les journaux sont envoyés doit avoir une politique de ressources qui inclut certaines autorisations. Si le groupe de journaux n'a actuellement aucune politique de ressources et que l'utilisateur qui configure la journalisation dispose des `logs:DescribeLogGroups` autorisations `logs:PutResourcePolicy``logs:DescribeResourcePolicies`, et pour le groupe de journaux, crée AWS automatiquement la politique suivante pour celui-ci lorsque vous commencez à envoyer les CloudWatch journaux à Logs. Pour les abonnements nouvellement créés, les politiques de ressources sont configurées au niveau du groupe de journaux et leur taille maximale est de 51 200 octets. Si une politique de ressources existante au niveau du compte accorde déjà des autorisations par le biais de caractères génériques, aucune politique distincte au niveau du groupe de journaux ne sera créée. Pour vérifier la politique de ressources au niveau du groupe de journaux pour un groupe de journaux spécifique, utilisez la `describe-resource-policies` commande avec le `--resource-arn` paramètre défini sur l'ARN du groupe de journaux et le `--policy-scope` paramètre défini sur. `RESOURCE`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
La limite de politique de ressources du groupe de journaux est de 51 200 octets. Une fois cette limite atteinte, AWS ne peut pas ajouter de nouvelles autorisations. Cela oblige les clients à modifier manuellement la politique afin d'accorder au `delivery.logs.amazonaws.com` service les autorisations principales sur les `logs:PutLogEvents` actions `logs:CreateLogStream` et. Les clients doivent utiliser un préfixe de nom de groupe de journaux avec des caractères génériques, tels que ce nom de groupe de journaux, `/aws/vendedlogs/*` et utiliser ce nom de groupe de journaux pour la création de futures livraisons.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
# Journaux envoyés à Amazon S3
Lorsque vous configurez les journaux à envoyer à Amazon S3, vous AWS créez ou modifiez les politiques de ressources associées au compartiment S3 qui reçoit les journaux, si nécessaire.
Les journaux publiés directement sur Amazon S3 le sont dans un compartiment existant que vous spécifiez. Un ou plusieurs fichiers journaux sont créés toutes les cinq minutes dans le compartiment spécifié.
Lorsque vous livrez des journaux pour la première fois à un compartiment Amazon S3, le service qui livre les journaux enregistre le propriétaire du compartiment pour s'assurer que les journaux sont livrés uniquement à un compartiment appartenant à ce compte. Par conséquent, pour changer le propriétaire du compartiment Amazon S3, vous devez recréer ou mettre à jour l'abonnement au journal dans le service d'origine.
**Note**
CloudFront utilise un modèle d'autorisation différent de celui des autres services qui envoient des journaux vendus à S3. Pour plus d'informations, consultez [Autorisations requises pour configurer la journalisation standard et pour accéder à vos fichiers journaux](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html#AccessLogsBucketAndFileOwnership).
En outre, si vous utilisez le même compartiment S3 pour les journaux CloudFront d'accès et une autre source de journaux, l'activation de l'ACL sur le compartiment permet CloudFront également d'autoriser toutes les autres sources de journaux qui utilisent ce compartiment.
**Important**
Si vous envoyez des journaux vers un compartiment Amazon S3 et que la politique du compartiment contient un `NotPrincipal` élément `NotAction` ou, l'ajout automatique des autorisations de livraison des journaux au compartiment et la création d'un abonnement aux journaux échoueront. Pour créer un abonnement aux journaux avec succès, vous devez ajouter manuellement les autorisations de livraison des journaux à la politique de compartiment, puis créer l'abonnement aux journaux. Pour plus d'informations, consultez les instructions de cette section.
Si le compartiment est chiffré côté serveur à l'aide d'une AWS KMS clé gérée par le client, vous devez également ajouter la politique de clé pour votre clé gérée par le client. Pour de plus amples informations, veuillez consulter [Chiffrement côté serveur des compartiments Amazon S3](#AWS-logs-SSE-KMS-S3).
Si le SSE-KMS et une clé de compartiment sont activés dans le compartiment de destination, la politique de clé KMS gérée par le client associée ne fonctionne plus comme prévu pour toutes les demandes. Pour plus d'informations, consultez [Réduire le coût du SSE-KMS avec les clés de compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).
Si vous utilisez des journaux vendus et un chiffrement S3 avec une AWS KMS clé gérée par le client, vous devez utiliser un ARN de AWS KMS clé entièrement qualifié au lieu d'un identifiant de clé lorsque vous configurez le compartiment. Pour plus d'informations, consultez [ put-bucket-encryption](https://docs.aws.amazon.com/cli/latest/reference/s3api/put-bucket-encryption.html).
**Autorisations des utilisateurs**
Pour pouvoir configurer l'envoi de l'un de ces types de journaux à Amazon S3 pour la première fois, vous devez être connecté à un compte disposant des autorisations suivantes.
+ `logs:CreateLogDelivery`
+ `S3:GetBucketPolicy`
+ `S3:PutBucketPolicy`
Si l'un de ces types de journaux est déjà envoyé vers un compartiment Amazon S3, il vous suffit de disposer de l'autorisation `logs:CreateLogDelivery` pour configurer l'envoi d'un autre de ces types de journaux vers le même compartiment.
**Politique de ressources du compartiment S3**
Le compartiment S3 où les journaux sont envoyés doit avoir une politique de ressources qui inclut certaines autorisations. Si le compartiment ne comporte aucune politique de ressources et que l'utilisateur qui configure la journalisation dispose des autorisations `S3:GetBucketPolicy` et `S3:PutBucketPolicy` pour le compartiment, AWS crée automatiquement la politique suivante lorsque vous commencez à envoyer les journaux à Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "AWSLogDeliveryWrite20150319",
"Statement": [
{
"Sid": "AWSLogDeliveryAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
},
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/account-ID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
Dans la politique précédente, pour `aws:SourceAccount`, spécifiez la liste des ID de comptes pour lesquels les journaux sont transmis à ce compartiment. Pour`aws:SourceArn`, spécifiez la liste ARNs des ressources qui génèrent les journaux, dans le formulaire`arn:aws:logs:source-region:source-account-id:*`.
Si le compartiment dispose d'une politique de ressources, mais que celle-ci ne contient pas la déclaration indiquée dans la politique précédente, et que l'utilisateur qui configure la journalisation dispose des autorisations `S3:GetBucketPolicy` et `S3:PutBucketPolicy` pour le compartiment, cette déclaration est ajoutée à la politique de ressources du compartiment.
**Note**
Dans certains cas, des `AccessDenied` erreurs peuvent s'afficher AWS CloudTrail si l'`s3:ListBucket`autorisation n'a pas été accordée`delivery.logs.amazonaws.com`. Pour éviter ces erreurs dans vos CloudTrail journaux, vous devez accorder l'`s3:ListBucket`autorisation `delivery.logs.amazonaws.com` et inclure les `Condition` paramètres indiqués dans l'`s3:GetBucketAcl`autorisation définie dans la politique de compartiment précédente. Pour simplifier les choses, au lieu de créer un nouveau `Statement`, vous pouvez directement mettre à jour le `AWSLogDeliveryAclCheck` pour qu'il devienne `“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]`
## Chiffrement côté serveur des compartiments Amazon S3
Vous pouvez protéger les données de votre compartiment Amazon S3 en activant le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) ou le chiffrement côté serveur avec une clé stockée dans (SSE-KMS). AWS KMS AWS Key Management Service Pour plus d'informations, consultez [ Protection des données à l'aide du chiffrement côté serveur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html).
Si vous choisissez l'option SSE-S3, aucune configuration supplémentaire n'est requise. Amazon S3 gère la clé de chiffrement.
**Avertissement**
Si vous choisissez SSE-KMS, vous devez utiliser une clé gérée par le client, car l'utilisation d'une clé AWS gérée n'est pas prise en charge dans ce scénario. Si vous configurez le chiffrement à l'aide d'une clé AWS gérée, les journaux seront fournis dans un format illisible.
Lorsque vous utilisez une AWS KMS clé gérée par le client, vous pouvez spécifier le nom de ressource Amazon (ARN) de la clé gérée par le client lorsque vous activez le chiffrement des compartiments. Vous devez ajouter les informations suivantes à la politique de votre clé gérée par le client (pas à la politique du compartiment S3), afin que le compte de livraison des journaux puisse écrire des données dans votre compartiment S3.
Si vous choisissez l'option SSE-KMS, vous devez utiliser une clé gérée par le client, car les clés gérées AWS ne sont pas prises en charge pour ce scénario. Lorsque vous utilisez une AWS KMS clé gérée par le client, vous pouvez spécifier le nom de ressource Amazon (ARN) de la clé gérée par le client lorsque vous activez le chiffrement des compartiments. Vous devez ajouter les informations suivantes à la politique de votre clé gérée par le client (pas à la politique du compartiment S3), afin que le compte de livraison des journaux puisse écrire des données dans votre compartiment S3.
```
{
"Sid": "Allow Logs Delivery to use the key",
"Effect": "Allow",
"Principal": {
"Service": [ "delivery.logs.amazonaws.com" ]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["0123456789"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-1:0123456789:*"]
}
}
}
```
Pour `aws:SourceAccount`, spécifiez la liste des ID de comptes pour lesquels les journaux sont transmis à ce compartiment. Pour`aws:SourceArn`, spécifiez la liste ARNs des ressources qui génèrent les journaux, dans le formulaire`arn:aws:logs:source-region:source-account-id:*`.
# Logs envoyés à Firehose
Cette section s'applique lorsque les types de journaux répertoriés dans le tableau de la section précédente sont envoyés à Firehose :
**Autorisations des utilisateurs**
Pour pouvoir configurer l'envoi de l'un de ces types de journaux à Firehose pour la première fois, vous devez être connecté à un compte avec les autorisations suivantes.
+ `logs:CreateLogDelivery`
+ `firehose:TagDeliveryStream`
+ `iam:CreateServiceLinkedRole`
Si l'un de ces types de journaux est déjà envoyé à Firehose, vous devez uniquement disposer des autorisations et pour configurer l'envoi d'un autre de ces types de journaux à Firehose. `logs:CreateLogDelivery` `firehose:TagDeliveryStream`
**Rôles IAM utilisés pour les autorisations**
Comme Firehose n'utilise pas de politiques de ressources, il AWS utilise les rôles IAM lors de la configuration de ces journaux à envoyer à Firehose. AWS crée un rôle lié à un service nommé. **AWSServiceRoleForLogDelivery** Ce rôle lié à un service comprend les autorisations suivantes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:ListTagsForDeliveryStream"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/LogDeliveryEnabled": "true"
}
},
"Effect": "Allow"
}
]
}
```
------
Ce rôle lié à un service accorde l'autorisation à tous les flux de diffusion Firehose dont la `LogDeliveryEnabled` balise est définie sur. `true` AWS attribue cette balise au flux de diffusion de destination lorsque vous configurez la journalisation.
Ce rôle lié à un service possède également une politique d'approbation qui permet au principal du service `delivery.logs.amazonaws.com` d'assumer le rôle lié au service nécessaire. Cette politique d'approbation est la suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Journalisation nécessitant des autorisations supplémentaires [V2]
Certains AWS services utilisent une nouvelle méthode pour envoyer leurs journaux. Il s'agit d'une méthode flexible qui vous permet de configurer la livraison des journaux depuis ces services vers une ou plusieurs des destinations suivantes : CloudWatch Logs, Amazon S3 ou Firehose and X-Ray pour la livraison de traces.
La livraison d'un journal de travail comprend trois éléments :
+ A`DeliverySource`, qui est un objet logique qui représente la ou les ressources qui envoient réellement les journaux.
+ A`DeliveryDestination`, qui est un objet logique qui représente la destination de livraison réelle.
+ A`Delivery`, qui connecte une source de livraison à une destination de livraison
Pour configurer la livraison des journaux entre un AWS service pris en charge et une destination, vous devez effectuer les opérations suivantes :
+ Créez une source de diffusion avec [PutDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html).
+ Créez une destination de livraison avec [PutDeliveryDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestination.html).
+ Si vous distribuez des journaux entre comptes, vous devez les utiliser [ PutDeliveryDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestinationPolicy.html)dans le compte de destination pour attribuer une IAM politique à la destination. Cette politique autorise la création d'une livraison depuis la source de livraison dans le compte A vers la destination de livraison dans le compte B. Pour la livraison entre comptes, vous devez créer manuellement les politiques d'autorisation vous-même.
+ Créez une livraison en associant exactement une source de livraison et une destination de livraison, en utilisant [ CreateDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateDelivery.html).
Les sections suivantes fournissent les détails des autorisations dont vous avez besoin lorsque vous êtes connecté pour configurer la livraison des journaux à chaque type de destination, à l'aide du processus V2. Ces autorisations peuvent être accordées à un rôle IAM avec lequel vous êtes connecté.
**Important**
Il est de votre responsabilité de supprimer les ressources de livraison de journaux après avoir supprimé la ressource génératrice de journaux. Pour ce faire, procédez comme suit.
`Delivery`Supprimez-le à l'aide de l'[DeleteDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDelivery.html)opération.
`DeliverySource`Supprimez-le à l'aide de l'[DeleteDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDeliverySource.html)opération.
Si le `DeliveryDestination` fichier associé à `DeliverySource` celui que vous venez de supprimer n'est utilisé que pour ce `DeliverySource` paramètre spécifique, vous pouvez le supprimer en utilisant l'[DeleteDeliveryDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDeliveryDestinations.html)opération.
**Contents**
+ [Logs envoyés à CloudWatch Logs](AWS-logs-infrastructure-V2-CloudWatchLogs.md)
+ [Journaux envoyés à Amazon S3](AWS-logs-infrastructure-V2-S3.md)
+ [Amazon S3](AWS-logs-infrastructure-V2-S3.md#AWS-logs-SSE-KMS-S3-V2)
+ [Logs envoyés à Firehose](AWS-logs-infrastructure-V2-Firehose.md)
+ [Traces envoyées à X-Ray](AWS-logs-infrastructure-V2-XRayTraces.md)
# Logs envoyés à CloudWatch Logs
**Autorisations des utilisateurs**
Pour activer l'envoi de CloudWatch journaux à Logs, vous devez être connecté avec les autorisations suivantes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:444455556666:delivery-source:*",
"arn:aws:logs:us-east-1:777788889999:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyCWL",
"Effect": "Allow",
"Action": [
"logs:PutResourcePolicy",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:*"
]
}
]
}
```
------
**Politique de ressources du groupe de journaux**
Le groupe de journaux dans lequel les journaux sont envoyés doit avoir une politique de ressources qui inclut certaines autorisations. Si le groupe de journaux n'a actuellement aucune politique de ressources et que l'utilisateur qui configure la journalisation dispose des `logs:DescribeLogGroups` autorisations `logs:PutResourcePolicy``logs:DescribeResourcePolicies`, et pour le groupe de journaux, crée AWS automatiquement la politique suivante pour celui-ci lorsque vous commencez à envoyer les CloudWatch journaux à Logs. Pour les abonnements nouvellement créés, les politiques de ressources sont configurées au niveau du groupe de journaux et leur taille maximale est de 51 200 octets. Si une politique de ressources existante au niveau du compte accorde déjà des autorisations par le biais de caractères génériques, aucune politique distincte au niveau du groupe de journaux ne sera créée. Pour vérifier la politique de ressources au niveau du groupe de journaux pour un groupe de journaux spécifique, utilisez la `describe-resource-policies` commande avec le `--resource-arn` paramètre défini sur l'ARN du groupe de journaux et le `--policy-scope` paramètre défini sur. `RESOURCE`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
La limite de politique de ressources du groupe de journaux est de 51 200 octets. Une fois cette limite atteinte, AWS ne peut pas ajouter de nouvelles autorisations. Cela oblige les clients à modifier manuellement la politique afin d'accorder au `delivery.logs.amazonaws.com` service les autorisations principales sur les `logs:PutLogEvents` actions `logs:CreateLogStream` et. Les clients doivent utiliser un préfixe de nom de groupe de journaux avec des caractères génériques, tels que ce nom de groupe de journaux, `/aws/vendedlogs/*` et utiliser ce nom de groupe de journaux pour la création de futures livraisons.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
# Journaux envoyés à Amazon S3
**Autorisations des utilisateurs**
Pour activer l'envoi de journaux à Amazon S3, vous devez être connecté avec les autorisations suivantes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:111122223333:delivery-source:*",
"arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyS3",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::bucket-name"
}
]
}
```
------
Le compartiment S3 où les journaux sont envoyés doit avoir une politique de ressources qui inclut certaines autorisations. Si le compartiment ne comporte aucune politique de ressources et que l'utilisateur qui configure la journalisation dispose des autorisations `S3:GetBucketPolicy` et `S3:PutBucketPolicy` pour le compartiment, AWS crée automatiquement la politique suivante lorsque vous commencez à envoyer les journaux à Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "AWSLogDeliveryWrite20150319",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/account-ID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:delivery-source:*"
]
}
}
}
]
}
```
------
Dans la politique précédente, pour `aws:SourceAccount`, spécifiez la liste des ID de comptes pour lesquels les journaux sont transmis à ce compartiment. Pour`aws:SourceArn`, spécifiez la liste ARNs des ressources qui génèrent les journaux, dans le formulaire`arn:aws:logs:source-region:source-account-id:*`.
Si le compartiment dispose d'une politique de ressources, mais que celle-ci ne contient pas la déclaration indiquée dans la politique précédente, et que l'utilisateur qui configure la journalisation dispose des autorisations `S3:GetBucketPolicy` et `S3:PutBucketPolicy` pour le compartiment, cette déclaration est ajoutée à la politique de ressources du compartiment.
**Note**
Dans certains cas, des `AccessDenied` erreurs peuvent s'afficher AWS CloudTrail si l'`s3:ListBucket`autorisation n'a pas été accordée`delivery.logs.amazonaws.com`. Pour éviter ces erreurs dans vos CloudTrail journaux, vous devez accorder l'`s3:ListBucket`autorisation `delivery.logs.amazonaws.com` et inclure les `Condition` paramètres indiqués dans l'`s3:GetBucketAcl`autorisation définie dans la politique de compartiment précédente. Pour simplifier les choses, au lieu de créer un nouveau `Statement`, vous pouvez directement mettre à jour le `AWSLogDeliveryAclCheck` pour qu'il devienne `“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]`
## Chiffrement côté serveur des compartiments Amazon S3
Vous pouvez protéger les données de votre compartiment Amazon S3 en activant le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) ou le chiffrement côté serveur avec une clé stockée dans (SSE-KMS). AWS KMS AWS Key Management Service Pour plus d'informations, consultez [ Protection des données à l'aide du chiffrement côté serveur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html).
Si vous choisissez l'option SSE-S3, aucune configuration supplémentaire n'est requise. Amazon S3 gère la clé de chiffrement.
**Avertissement**
Si vous choisissez SSE-KMS, vous devez utiliser une clé gérée par le client, car l'utilisation d'une clé AWS gérée n'est pas prise en charge dans ce scénario. Si vous configurez le chiffrement à l'aide d'une clé AWS gérée, les journaux seront fournis dans un format illisible.
Lorsque vous utilisez une AWS KMS clé gérée par le client, vous pouvez spécifier le nom de ressource Amazon (ARN) de la clé gérée par le client lorsque vous activez le chiffrement des compartiments. Vous devez ajouter les informations suivantes à la politique de votre clé gérée par le client (pas à la politique du compartiment S3), afin que le compte de livraison des journaux puisse écrire des données dans votre compartiment S3.
Si vous choisissez l'option SSE-KMS, vous devez utiliser une clé gérée par le client, car les clés gérées AWS ne sont pas prises en charge pour ce scénario. Lorsque vous utilisez une AWS KMS clé gérée par le client, vous pouvez spécifier le nom de ressource Amazon (ARN) de la clé gérée par le client lorsque vous activez le chiffrement des compartiments. Vous devez ajouter les informations suivantes à la politique de votre clé gérée par le client (pas à la politique du compartiment S3), afin que le compte de livraison des journaux puisse écrire des données dans votre compartiment S3.
```
{
"Sid": "Allow Logs Delivery to use the key",
"Effect": "Allow",
"Principal": {
"Service": [ "delivery.logs.amazonaws.com" ]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["0123456789"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-1:0123456789:delivery-source:*"]
}
}
}
```
Pour `aws:SourceAccount`, spécifiez la liste des ID de comptes pour lesquels les journaux sont transmis à ce compartiment. Pour`aws:SourceArn`, spécifiez la liste ARNs des ressources qui génèrent les journaux, dans le formulaire`arn:aws:logs:source-region:source-account-id:*`.
# Logs envoyés à Firehose
**Autorisations des utilisateurs**
Pour activer l'envoi de logs à Firehose, vous devez être connecté avec les autorisations suivantes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:111122223333:delivery-source:*",
"arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyFH",
"Effect": "Allow",
"Action": [
"firehose:TagDeliveryStream"
],
"Resource": [
"arn:aws:firehose:us-east-1:111122223333:deliverystream/*"
]
},
{
"Sid": "CreateServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery"
}
]
}
```
------
**Rôles IAM utilisés pour les autorisations de ressources**
Comme Firehose n'utilise pas de politiques de ressources, il AWS utilise les rôles IAM lors de la configuration de ces journaux à envoyer à Firehose. AWS crée un rôle lié à un service nommé. **AWSServiceRoleForLogDelivery** Ce rôle lié à un service comprend les autorisations suivantes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:ListTagsForDeliveryStream"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/LogDeliveryEnabled": "true"
}
},
"Effect": "Allow"
}
]
}
```
------
Ce rôle lié à un service accorde l'autorisation à tous les flux de diffusion Firehose dont la `LogDeliveryEnabled` balise est définie sur. `true` AWS attribue cette balise au flux de diffusion de destination lorsque vous configurez la journalisation.
Ce rôle lié à un service possède également une politique d'approbation qui permet au principal du service `delivery.logs.amazonaws.com` d'assumer le rôle lié au service nécessaire. Cette politique d'approbation est la suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Traces envoyées à X-Ray
**Autorisations des utilisateurs**
Pour activer l'envoi de traces à AWS X-Ray, vous devez être connecté avec les autorisations suivantes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:111122223333:delivery-source:*",
"arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyXRay",
"Effect": "Allow",
"Action": [
"xray:PutResourcePolicy",
"xray:ListResourcePolicies",
"xray:GetTraceSegmentDestination"
],
"Resource": "*"
}
]
}
```
------
**Politique en matière de ressources X-Ray**
Le compte de destination vers lequel les traces sont envoyées doit disposer d'une politique de ressources incluant certaines autorisations. Lorsque l'utilisateur qui configure le suivi dispose `xray:PutResourcePolicy` d'`xray:ListResourcePolicies`autorisations sur le compte, crée AWS automatiquement la politique de ressources lorsque vous commencez à envoyer des traces à X-Ray. La politique créée dépend du service source :
**Amazon Bedrock AgentCore resources**
AWS crée une politique de ressources par type de ressource. La politique utilise des modèles génériques s'étendant jusqu'aux limites du compte, couvrant toutes les ressources du même type de Amazon Bedrock AgentCore ressources du compte. Par exemple, si une ressource *Amazon Bedrock AgentCoremémoire* est activée pour la livraison de traces, la politique couvre toutes les ressources de mémoire de ce compte, y compris les ressources de mémoire créées dans le futur.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "xray:PutTraceSegments",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ForAllValues:ArnLike": {
"logs:LogGeneratingResourceArns": "arn:aws:bedrock-agentcore:us-east-1:123456789012:memory/*"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:delivery-source:*"
}
}
}
]
}
```
**Autres AWS services**
Pour les autres services qui prennent en charge la fourniture de traces, AWS crée une politique de ressources limitée à la ressource source spécifique.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "xray:PutTraceSegments",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ForAllValues:ArnLike": {
"logs:LogGeneratingResourceArns": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:delivery-source:xray-test"
}
}
}
]
}
```
**Activer la recherche de transactions**
Pour activer l'envoi de traces à X-Ray, vous devez activer la [recherche de transactions](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Enable-Lambda-TransactionSearch.html).
# Autorisations spécifiques au service
Outre les autorisations spécifiques à la destination répertoriées dans les sections précédentes, certains services nécessitent une autorisation explicite autorisant les clients à envoyer des journaux à partir de leurs ressources, comme couche de sécurité supplémentaire. Il autorise l'`AllowVendedLogDeliveryForResource`action pour les ressources qui vendent des journaux au sein de ce service. Pour ces services, appliquez la politique suivante et remplacez *service* et *resource-type* par les valeurs appropriées. Pour les valeurs spécifiques aux services pour ces champs, consultez la page de documentation de ces services pour les journaux vendus. Dans l'exemple suivant, la politique a été mise à jour pour activer les journaux vendus depuis Amazon SES.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ServiceLevelAccessForLogDelivery",
"Effect": "Allow",
"Action": [
"ses:AllowVendedLogDeliveryForResource"
],
"Resource": "arn:aws:ses:us-east-1:123456789012:resource-type/*"
}
]
}
```
------
# Autorisations spécifiques à la console
Outre les autorisations répertoriées dans les sections précédentes, si vous configurez la livraison des journaux à l'aide de la console au lieu de la APIs, vous avez également besoin des autorisations supplémentaires suivantes :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLogDeliveryActionsConsoleCWL",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
},
{
"Sid": "AllowLogDeliveryActionsConsoleS3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "AllowLogDeliveryActionsConsoleFH",
"Effect": "Allow",
"Action": [
"firehose:ListDeliveryStreams",
"firehose:DescribeDeliveryStream"
],
"Resource": [
"*"
]
}
]
}
```
------
# Exemple de livraison entre comptes
Dans cet exemple, deux comptes sont concernés. Le compte contenant la ressource génératrice de journaux est le compte A, ID :*123456789012*, et le compte contenant la ressource consommant le journal est le compte B, ID :. *111122223333*
Le compte A souhaite fournir des logs provenant de la base de Amazon Bedrock connaissances de son compte avec l'ARN arn:aws:bedrock : :knowledge base/. *us-east-1* *123456789012* *kb-12345678*
Pour cet exemple, le compte A a besoin des autorisations suivantes :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowVendedLogDeliveryForKnowledgeBase",
"Effect": "Allow",
"Action": [
"bedrock:AllowVendedLogDeliveryForResource"
],
"Resource": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/XXXXXXXXXX"
},
{
"Sid": "CreateLogDeliveryPermissions",
"Effect": "Allow",
"Action": [
"logs:PutDeliverySource",
"logs:CreateDelivery"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:delivery-source:*",
"arn:aws:logs:us-east-1:123456789012:delivery:*",
"arn:aws:logs:us-east-1:444455556666:delivery-destination:*"
]
}
]
}
```
------
## Création d'une source de livraison
Pour commencer, le compte A crée une source de diffusion à partir de sa base de connaissances de base :
```
aws logs put-delivery-source --name my-delivery-source --log-type APPLICATION_LOGS --resource-arn arn:aws:bedrock:region:AAAAAAAAAAAA:knowledge-base/XXXXXXXXXX
```
Ensuite, le compte B doit créer la destination de livraison en utilisant l'un des flux ci-dessous :
+ [Configuration de la livraison vers un compartiment Amazon S3](#crossaccount-example-delivery-S3)
+ [Configurer la diffusion vers un flux Firehose](#crossaccount-example-delivery-Firehose)
## Configuration de la livraison vers un compartiment Amazon S3
Le compte B souhaite recevoir les logs dans son compartiment S3 avec l'ARN arn:aws:s3 : ::amzn-s3-demo-bucket. Dans cet exemple, le compte B aura besoin des autorisations suivantes :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PutLogDestinationPermissions",
"Effect": "Allow",
"Action": [
"logs:PutDeliveryDestination",
"logs:PutDeliveryDestinationPolicy"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
}
]
}
```
------
Le bucket aura besoin des autorisations suivantes dans sa politique de bucket :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogsDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/123456789012/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"123456789012"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:delivery-source:my-delivery-source"
]
}
}
}
]
}
```
------
Si le compartiment est chiffré avec SSE-KMS, assurez-vous que la politique de AWS KMS clés dispose des autorisations appropriées. Par exemple, si la clé KMS est`arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`, utilisez ce qui suit :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLogsGenerateDataKey",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"123456789012"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:delivery-source:my-delivery-source"
]
}
}
}
]
}
```
------
Le compte B peut ensuite créer une destination de livraison avec le compartiment S3 comme ressource de destination :
```
aws logs put-delivery-destination --name my-s3-delivery-destination --delivery-destination-configuration "destinationResourceArn=arn:aws:s3:::amzn-s3-demo-bucket"
```
Ensuite, le compte B crée une politique de destination de livraison pour sa nouvelle destination de livraison, qui autorisera le compte A à créer un journal de livraison. La politique qui sera ajoutée à la destination de livraison nouvellement créée est la suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateDelivery",
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": [
"logs:CreateDelivery"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:delivery-destination:amzn-s3-demo-bucket"
}
]
}
```
------
Cette politique sera enregistrée sur l'ordinateur du compte B car `destination-policy-s3.json` pour associer cette ressource, le compte B exécutera la commande suivante :
```
aws logs put-delivery-destination-policy --delivery-destination-name my-s3-delivery-destination --delivery-destination-policy file://destination-policy-s3.json
```
Enfin, le compte A crée la livraison, qui lie la source de livraison dans le compte A à la destination de livraison dans le compte B.
```
aws logs create-delivery --delivery-source-name my-delivery-source --delivery-destination-arn arn:aws:logs:region:BBBBBBBBBBBB:delivery-destination:my-s3-delivery-destination
```
## Configurer la diffusion vers un flux Firehose
Dans cet exemple, le compte B souhaite recevoir des logs dans son stream Firehose. Le flux Firehose possède l'ARN suivant et est configuré pour utiliser le type de flux de DirectPut diffusion :
`arn:aws:firehose:us-east-1:111122223333:deliverystream/log-delivery-stream`
Pour cet exemple, le compte B a besoin des autorisations suivantes :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFirehoseCreateSLR",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery"
},
{
"Sid": "AllowFirehoseTagging",
"Effect": "Allow",
"Action": [
"firehose:TagDeliveryStream"
],
"Resource": "arn:aws:firehose:us-east-1:111122223333:deliverystream/X"
},
{
"Sid": "AllowFirehoseDeliveryDestination",
"Effect": "Allow",
"Action": [
"logs:PutDeliveryDestination",
"logs:PutDeliveryDestinationPolicy"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
}
]
}
```
------
Le stream Firehose doit avoir la balise `LogDeliveryEnabled` définie sur. `true`
Le compte B créera ensuite une destination de livraison avec le stream Firehose comme ressource de destination :
```
aws logs put-delivery-destination --name my-fh-delivery-destination --delivery-destination-configuration "destinationResourceArn=arn:aws:firehose:region:BBBBBBBBBBBB:deliverystream/X"
```
Ensuite, le compte B crée une politique de destination de livraison pour sa nouvelle destination de livraison, qui autorisera le compte A à créer un journal de livraison. La politique à ajouter à la destination de livraison nouvellement créée est la suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateDelivery",
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": [
"logs:CreateDelivery"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:delivery-destination:amzn-s3-demo-bucket"
}
]
}
```
------
Cette politique sera enregistrée sur l'ordinateur du compte B car `destination-policy-fh.json` pour associer cette ressource, le compte B exécute la commande suivante :
```
aws logs put-delivery-destination-policy --delivery-destination-name my-fh-delivery-destination --delivery-destination-policy file://destination-policy-fh.json
```
Enfin, le compte A crée la livraison, qui lie la source de livraison dans le compte A à la destination de livraison dans le compte B.
```
aws logs create-delivery --delivery-source-name my-delivery-source --delivery-destination-arn arn:aws:logs:region:BBBBBBBBBBBB:delivery-destination:my-fh-delivery-destination
```
# Prévention du cas de figure de l’adjoint désorienté entre services
Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le *service appelant*) appelle un autre service (le *service appelé*). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé à accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services auprès des principaux fournisseurs de services qui ont obtenu l'accès aux ressources de votre compte.
Nous recommandons d'utiliser les clés [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)contextuelles [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn),, et de condition [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths)globale dans les politiques de ressources afin de limiter les autorisations que CloudWatch Logs accorde à un autre service à la ressource. Utilisez `aws:SourceArn` pour associer une seule ressource à l’accès interservice. Utilisez `aws:SourceAccount` pour permettre à n’importe quelle ressource de ce compte d’être associée à l’utilisation interservice. Utilisez `aws:SourceOrgID` pour permettre à n’importe quelle ressource de n’importe quel compte au sein d’une organisation d’être associée à l’utilisation interservice. `aws:SourceOrgPaths`À utiliser pour associer toute ressource provenant de comptes situés dans un AWS Organizations chemin à l'utilisation interservices. Pour plus d'informations sur l'utilisation et la compréhension des chemins, voir [Comprendre le chemin de l' AWS Organizations entité](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path).
Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de contexte de condition globale `aws:SourceArn` avec l’ARN complet de la ressource. Si vous ne connaissez pas l’ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale `aws:SourceArn` avec des caractères génériques (`*`) pour les parties inconnues de l’ARN. Par exemple, `arn:aws:servicename:*:123456789012:*`.
Si la valeur `aws:SourceArn` ne contient pas l'ID du compte, tel qu'un ARN de compartiment Amazon S3, vous devez utiliser à la fois `aws:SourceAccount` et `aws:SourceArn` pour limiter les autorisations.
Pour se protéger contre le problème de l'adjoint confus à grande échelle, utilisez la clé de contexte de condition globale `aws:SourceOrgID` ou `aws:SourceOrgPaths` avec l'ID de l'organisation ou le chemin de l'organisation de la ressource dans vos politiques basées sur les ressources. Lorsque vous ajoutez, supprimez et déplacez des comptes dans votre organisation, les politiques qui contiennent la clé `aws:SourceOrgID` ou `aws:SourceOrgPaths` incluront automatiquement les bons comptes et vous n'avez pas besoin de mettre manuellement à jour les polices.
Les politiques documentées pour autoriser l'accès aux CloudWatch journaux afin d'y écrire des données [Étape 1 : créer une destination](CreateDestination.md) dans Kinesis Data Streams [Étape 2 : créer une destination](CreateFirehoseStreamDestination.md) et Firehose montrent comment vous pouvez utiliser la clé de contexte de condition globale pour éviter `aws:SourceArn` le problème de confusion lié aux adjoints.