Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration des journaux Amazon MQ pour ActiveMQ
Pour autoriser Amazon MQ à publier des journaux dans Logs, vous devez [ajouter une autorisation à votre utilisateur Amazon MQ](#security-logging-monitoring-configure-cloudwatch-permissions) et [configurer une politique basée sur les ressources pour Amazon MQ](#security-logging-monitoring-configure-cloudwatch-resource-permissions) avant de créer ou de redémarrer le courtier. CloudWatch
**Note**
Lorsque vous activez les journaux et publiez des messages depuis la console Web ActiveMQ, le contenu du message est envoyé et affiché dans CloudWatch les journaux.
Ce qui suit décrit les étapes à suivre pour configurer les CloudWatch journaux de vos courtiers ActiveMQ.
**Topics**
+ [Comprendre la structure de la journalisation dans CloudWatch Logs](#security-logging-monitoring-configure-cloudwatch-structure)
+ [Ajouter l’autorisation `CreateLogGroup` à l’utilisateur Amazon MQ](#security-logging-monitoring-configure-cloudwatch-permissions)
+ [Configurer une politique basée sur les ressources pour Amazon MQ](#security-logging-monitoring-configure-cloudwatch-resource-permissions)
+ [Prévention du cas de figure de l’adjoint désorienté entre services](#security-logging-monitoring-configure-cloudwatch-confused-deputy)
## Comprendre la structure de la journalisation dans CloudWatch Logs
Vous pouvez activer la journalisation *générale* et la journalisation des *audits* lorsque vous configurez les paramètres avancés du courtier, lorsque vous créez un courtier ou lorsque vous modifiez un courtier.
La journalisation générale active le niveau de `INFO` journalisation par défaut (la `DEBUG` journalisation n'est pas prise en charge) et publie `activemq.log` dans un groupe de journaux de votre CloudWatch compte. Le groupe de journaux a un format similaire à ce qui suit :
```
/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/general
```
La [journalisation des audits](http://activemq.apache.org/audit-logging.html) permet de consigner les actions de gestion effectuées à l'aide de JMX ou de la console Web ActiveMQ et de les `audit.log` publier dans un groupe de journaux de votre compte. CloudWatch Le groupe de journaux a un format similaire à ce qui suit :
```
/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/audit
```
Selon le type d’agent, à savoir un [agent à instance unique](amazon-mq-broker-architecture.md#single-broker-deployment) ou un [agent actif/en veille](amazon-mq-broker-architecture.md#active-standby-broker-deployment), Amazon MQ crée un ou deux flux de journaux dans chaque groupe de journaux. Les flux de journaux ont un format similaire à ce qui suit.
```
activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-1.log
activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-2.log
```
Les suffixes `-1` et `-2` indiquent des instances d’agent individuelles. Pour plus d'informations, consultez la section [Travailler avec des groupes de journaux et des flux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) de *[ CloudWatch journaux dans le guide de l'utilisateur Amazon Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*.
## Ajouter l’autorisation `CreateLogGroup` à l’utilisateur Amazon MQ
Pour autoriser Amazon MQ à créer un groupe de CloudWatch journaux Logs, vous devez vous assurer que l'utilisateur qui crée ou redémarre le broker dispose des autorisations nécessaires. `logs:CreateLogGroup`
**Important**
Si vous n'ajoutez pas l'autorisation `CreateLogGroup` à l'utilisateur Amazon MQ avant que l'utilisateur crée ou redémarre l'agent, Amazon MQ ne crée pas le groupe de journaux.
L'exemple suivant de [politique axée sur IAM](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html#identity-based-policies-cwl) octroie l'autorisation pour `logs:CreateLogGroup`pour les utilisateurs auxquels cette politique est attachée.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*"
}
]
}
```
------
**Note**
Ici, le terme « utilisateur » fait référence aux *utilisateurs* et non pas aux *utilisateurs Amazon MQ*, qui sont créés quand un nouvel agent est configuré. Pour plus d’informations sur la configuration des utilisateurs et la configuration de politiques IAM, reportez-vous à la section [Présentation de la gestion des identités](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_identity-management.html) du Guide de l’utilisateur IAM.
Pour plus d'informations, consultez `[CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)` le manuel *Amazon CloudWatch Logs API Reference*.
## Configurer une politique basée sur les ressources pour Amazon MQ
**Important**
Si vous ne configurez pas de politique basée sur les ressources pour Amazon MQ, le courtier ne peut pas publier les journaux dans Logs. CloudWatch
Pour autoriser Amazon MQ à publier des journaux dans votre groupe de journaux de CloudWatch journaux, configurez une politique basée sur les ressources afin de permettre à Amazon MQ d'accéder aux actions d'API de journaux suivantes : CloudWatch
+ `[CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html)`— Crée un flux de CloudWatch journaux pour le groupe de journaux spécifié.
+ `[PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html)`— Fournit des événements au flux de journal CloudWatch des journaux spécifié.
La politique basée sur les ressources suivante accorde des autorisations pour `logs:CreateLogStream` et `logs:PutLogEvents` pour. AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "mq.amazonaws.com" },
"Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ],
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*"
}
]
}
```
------
Cette politique basée sur les ressources *doit* être configurée à l'aide AWS CLI de la commande suivante. Dans l’exemple, remplacez `us-east-1` avec vos propres informations.
```
aws --region us-east-1 logs put-resource-policy --policy-name AmazonMQ-logs \
--policy-document "{\"Version\": \"2012-10-17\", \"Statement\":[{ \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"mq.amazonaws.com\" },
\"Action\": [\"logs:CreateLogStream\", \"logs:PutLogEvents\"], \"Resource\": \"arn:aws:logs:*:*:log-group:\/aws\/amazonmq\/*\" }]}"
```
**Note**
Comme cet exemple utilise le `/aws/amazonmq/` préfixe, vous ne devez configurer la politique basée sur les ressources qu'une seule fois par AWS compte et par région.
## Prévention du cas de figure de l’adjoint désorienté entre services
Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner un problème de confusion chez les adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le *service appelant*) appelle un autre service (le *service appelé*). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé à accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services auprès des principaux fournisseurs de services qui ont obtenu l'accès aux ressources de votre compte.
Nous vous recommandons d'utiliser les clés de contexte de condition `[aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)` globale `[aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)` et les clés contextuelles de votre politique basée sur les ressources Amazon MQ afin de limiter l'accès aux CloudWatch journaux à un ou plusieurs courtiers spécifiés.
**Note**
Si vous utilisez les deux clés de contexte de condition globale, la valeur `aws:SourceAccount` et le compte de la valeur `aws:SourceArn` doit utiliser le même ID de compte lorsqu’il est utilisé dans la même déclaration de stratégie.
L'exemple suivant illustre une politique basée sur les ressources qui limite l'accès aux CloudWatch journaux à un seul courtier Amazon MQ.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mq.amazonaws.com"
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:mq:us-west-1:123456789012:broker:my-broker:123456789012"
}
}
}
]
}
```
------
Vous pouvez également configurer votre politique basée sur les ressources pour limiter l'accès aux CloudWatch journaux à tous les courtiers d'un compte, comme indiqué ci-dessous.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"mq.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:mq:*:123456789012:broker:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
]
}
```
------
Pour plus d'informations sur le problème de sécurité de l'adjoint confus, consultez [Le problème de l'adjoint confus](https://docs.aws.amazon.com/hIAM/latest/UserGuide/confused-deputy.html) dans le *Guide de l’utilisateur*.