Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Logs envoyés à CloudWatch Logs
<a name="AWS-logs-infrastructure-CWL"></a>

**Important**  
Lorsque vous configurez les types de journaux dans la liste suivante à envoyer à CloudWatch Logs, vous AWS créez ou modifiez les politiques de ressources associées au groupe de journaux recevant les journaux, si nécessaire. Continuez à lire cette section pour voir les détails.

Cette section s'applique lorsque les types de journaux répertoriés dans le tableau de la section précédente sont envoyés à CloudWatch Logs :

**Autorisations des utilisateurs**

Pour pouvoir configurer l'envoi de l'un de ces types de CloudWatch journaux à Logs pour la première fois, vous devez être connecté à un compte avec les autorisations suivantes.
+ `logs:CreateLogDelivery`
+ `logs:PutResourcePolicy`
+ `logs:DescribeResourcePolicies`
+ `logs:DescribeLogGroups`
**Note**  
Lorsque vous spécifiez l'autorisation `logs:DescribeLogGroups``logs:DescribeResourcePolicies`, ou l'`logs:PutResourcePolicy`autorisation, veillez à définir l'ARN de sa `Resource` ligne de manière à utiliser un `*` caractère générique, au lieu de ne spécifier qu'un seul nom de groupe de journaux. Par exemple, `"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"`

Si l'un de ces types de journaux est déjà envoyé à un groupe de CloudWatch journaux dans Logs, vous n'avez besoin que de l'`logs:CreateLogDelivery`autorisation pour configurer l'envoi d'un autre de ces types de journaux à ce même groupe de journaux.

**Politique de ressources du groupe de journaux**

Le groupe de journaux dans lequel les journaux sont envoyés doit avoir une politique de ressources qui inclut certaines autorisations. Si le groupe de journaux n'a actuellement aucune politique de ressources et que l'utilisateur qui configure la journalisation dispose des `logs:DescribeLogGroups` autorisations `logs:PutResourcePolicy``logs:DescribeResourcePolicies`, et pour le groupe de journaux, crée AWS automatiquement la politique suivante pour celui-ci lorsque vous commencez à envoyer les CloudWatch journaux à Logs. Pour les abonnements nouvellement créés, les politiques de ressources sont configurées au niveau du groupe de journaux et leur taille maximale est de 51 200 octets. Si une politique de ressources existante au niveau du compte accorde déjà des autorisations par le biais de caractères génériques, aucune politique distincte au niveau du groupe de journaux ne sera créée. Pour vérifier la politique de ressources au niveau du groupe de journaux pour un groupe de journaux spécifique, utilisez la `describe-resource-policies` commande avec le `--resource-arn` paramètre défini sur l'ARN du groupe de journaux et le `--policy-scope` paramètre défini sur. `RESOURCE`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}
```

------

La limite de politique de ressources du groupe de journaux est de 51 200 octets. Une fois cette limite atteinte, AWS ne peut pas ajouter de nouvelles autorisations. Cela oblige les clients à modifier manuellement la politique afin d'accorder au `delivery.logs.amazonaws.com` service les autorisations principales sur les `logs:PutLogEvents` actions `logs:CreateLogStream` et. Les clients doivent utiliser un préfixe de nom de groupe de journaux avec des caractères génériques, tels que ce nom de groupe de journaux, `/aws/vendedlogs/*` et utiliser ce nom de groupe de journaux pour la création de futures livraisons.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}
```

------