Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Log dikirim ke CloudWatch Log **penting** Ketika Anda mengatur jenis log dalam daftar berikut untuk dikirim ke CloudWatch Log, AWS membuat atau mengubah kebijakan sumber daya yang terkait dengan grup log yang menerima log, jika diperlukan. Lanjutkan membaca bagian ini untuk melihat detailnya. Bagian ini berlaku ketika jenis log yang tercantum dalam tabel di bagian sebelumnya dikirim ke CloudWatch Log: **Izin pengguna** Untuk dapat mengatur pengiriman salah satu jenis log ini ke CloudWatch Log untuk pertama kalinya, Anda harus masuk ke akun dengan izin berikut. + `logs:CreateLogDelivery` + `logs:PutResourcePolicy` + `logs:DescribeResourcePolicies` + `logs:DescribeLogGroups` **catatan** Saat Anda menentukan`logs:DescribeLogGroups`,`logs:DescribeResourcePolicies`, atau `logs:PutResourcePolicy` izin, pastikan untuk mengatur ARN `Resource` barisnya untuk menggunakan `*` wildcard, alih-alih hanya menentukan satu nama grup log. Sebagai contoh, `"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"`. Jika salah satu jenis log ini sudah dikirim ke grup CloudWatch log di Log, maka untuk mengatur pengiriman salah satu jenis log ini ke grup log yang sama, Anda hanya perlu `logs:CreateLogDelivery` izin. **Kebijakan sumber daya grup log** Grup log tempat log dikirim harus memiliki kebijakan sumber daya yang mencakup izin tertentu. Jika grup log saat ini tidak memiliki kebijakan sumber daya, dan pengguna yang mengatur logging memiliki`logs:PutResourcePolicy`,`logs:DescribeResourcePolicies`, dan `logs:DescribeLogGroups` izin untuk grup log, maka AWS secara otomatis membuat kebijakan berikut untuk itu ketika Anda mulai mengirim CloudWatch log ke Log. Untuk langganan yang baru dibuat, kebijakan sumber daya dikonfigurasi pada tingkat grup log dan memiliki ukuran maksimum 51.200 byte. Jika kebijakan sumber daya tingkat akun yang ada sudah memberikan izin melalui wildcard, kebijakan tingkat grup log terpisah tidak akan dibuat. Untuk memeriksa kebijakan sumber daya tingkat Loggroup untuk grup log tertentu, gunakan `describe-resource-policies` perintah dengan parameter yang disetel ke grup log ARN dan `--resource-arn` parameter yang disetel ke. `--policy-scope` `RESOURCE` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*" ], "Condition": { "StringEquals": { "aws:SourceAccount": [ "0123456789" ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:us-east-1:111122223333:*" ] } } } ] } ``` ------ Batas kebijakan sumber daya grup log adalah 51.200 byte. Setelah batas ini tercapai, AWS tidak dapat menambahkan izin baru. Ini mengharuskan pelanggan untuk memodifikasi kebijakan secara manual untuk memberikan izin utama `delivery.logs.amazonaws.com` layanan pada `logs:PutLogEvents` tindakan `logs:CreateLogStream` dan tindakan. Pelanggan harus menggunakan awalan nama grup log dengan wildcard seperti `/aws/vendedlogs/*` dan menggunakan nama grup log ini untuk pembuatan Pengiriman di masa mendatang. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": [ "0123456789" ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:us-east-1:111122223333:*" ] } } } ] } ``` ------