View a markdown version of this page

Logs envoyés à CloudWatch Logs - Amazon CloudWatch Logs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Logs envoyés à CloudWatch Logs

Important

Lorsque vous configurez les types de journaux dans la liste suivante à envoyer à CloudWatch Logs, vous AWS créez ou modifiez les politiques de ressources associées au groupe de journaux recevant les journaux, si nécessaire. Continuez à lire cette section pour voir les détails.

Cette section s'applique lorsque les types de journaux répertoriés dans le tableau de la section précédente sont envoyés à CloudWatch Logs :

Autorisations des utilisateurs

Pour pouvoir configurer l'envoi de l'un de ces types de CloudWatch journaux à Logs pour la première fois, vous devez être connecté à un compte avec les autorisations suivantes.

  • logs:CreateLogDelivery

  • logs:PutResourcePolicy

  • logs:DescribeResourcePolicies

  • logs:DescribeLogGroups

    Note

    Lorsque vous spécifiez l'autorisation logs:DescribeLogGroupslogs:DescribeResourcePolicies, ou l'logs:PutResourcePolicyautorisation, veillez à définir l'ARN de sa Resource ligne de manière à utiliser un * caractère générique, au lieu de ne spécifier qu'un seul nom de groupe de journaux. Par exemple, "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"

Si l'un de ces types de journaux est déjà envoyé à un groupe de CloudWatch journaux dans Logs, vous n'avez besoin que de l'logs:CreateLogDeliveryautorisation pour configurer l'envoi d'un autre de ces types de journaux à ce même groupe de journaux.

Politique de ressources du groupe de journaux

Le groupe de journaux dans lequel les journaux sont envoyés doit avoir une politique de ressources qui inclut certaines autorisations. Si le groupe de journaux n'a actuellement aucune politique de ressources et que l'utilisateur qui configure la journalisation dispose des logs:DescribeLogGroups autorisations logs:PutResourcePolicylogs:DescribeResourcePolicies, et pour le groupe de journaux, crée AWS automatiquement la politique suivante pour celui-ci lorsque vous commencez à envoyer les CloudWatch journaux à Logs. Pour les abonnements nouvellement créés, les politiques de ressources sont configurées au niveau du groupe de journaux et leur taille maximale est de 51 200 octets. Si une politique de ressources existante au niveau du compte accorde déjà des autorisations par le biais de caractères génériques, aucune politique distincte au niveau du groupe de journaux ne sera créée. Pour vérifier la politique de ressources au niveau du groupe de journaux pour un groupe de journaux spécifique, utilisez la describe-resource-policies commande avec le --resource-arn paramètre défini sur l'ARN du groupe de journaux et le --policy-scope paramètre défini sur. RESOURCE

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}

La limite de politique de ressources du groupe de journaux est de 51 200 octets. Une fois cette limite atteinte, AWS ne peut pas ajouter de nouvelles autorisations. Cela oblige les clients à modifier manuellement la politique afin d'accorder au delivery.logs.amazonaws.com service les autorisations principales sur les logs:PutLogEvents actions logs:CreateLogStream et. Les clients doivent utiliser un préfixe de nom de groupe de journaux avec des caractères génériques, tels que ce nom de groupe de journaux, /aws/vendedlogs/* et utiliser ce nom de groupe de journaux pour la création de futures livraisons.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}