Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Logging yang membutuhkan izin tambahan [V1]
Beberapa AWS layanan menggunakan infrastruktur umum untuk mengirim log mereka ke CloudWatch Log, Amazon S3, atau Firehose. Untuk mengaktifkan AWS layanan yang tercantum dalam tabel sebelumnya untuk mengirim log mereka ke tujuan ini, Anda harus masuk sebagai pengguna yang memiliki izin tertentu.
Selain itu, izin harus diberikan AWS untuk mengaktifkan log yang akan dikirim. AWS dapat secara otomatis membuat izin tersebut ketika log disiapkan, atau Anda dapat membuatnya sendiri terlebih dahulu sebelum Anda mengatur logging. Untuk pengiriman lintas akun, Anda harus membuat sendiri kebijakan izin secara manual.
Jika Anda memilih untuk AWS secara otomatis mengatur izin dan kebijakan sumber daya yang diperlukan saat Anda atau seseorang di organisasi Anda pertama kali mengatur pengiriman log, maka pengguna yang menyiapkan pengiriman log harus memiliki izin tertentu, seperti yang dijelaskan nanti di bagian ini. Selain itu, Anda dapat membuat kebijakan sumber daya sendiri, dan kemudian pengguna yang mengatur pengiriman log tidak memerlukan banyak izin.
Topik berikut memberikan rincian lebih lanjut untuk masing-masing tujuan ini.
**Topics**
+ [Log dikirim ke CloudWatch Log](AWS-logs-infrastructure-CWL.md)
+ [Log yang dikirim ke Amazon S3](AWS-logs-infrastructure-S3.md)
+ [Log dikirim ke Firehose](AWS-logs-infrastructure-Firehose.md)
# Log dikirim ke CloudWatch Log
**penting**
Ketika Anda mengatur jenis log dalam daftar berikut untuk dikirim ke CloudWatch Log, AWS membuat atau mengubah kebijakan sumber daya yang terkait dengan grup log yang menerima log, jika diperlukan. Lanjutkan membaca bagian ini untuk melihat detailnya.
Bagian ini berlaku ketika jenis log yang tercantum dalam tabel di bagian sebelumnya dikirim ke CloudWatch Log:
**Izin pengguna**
Untuk dapat mengatur pengiriman salah satu jenis log ini ke CloudWatch Log untuk pertama kalinya, Anda harus masuk ke akun dengan izin berikut.
+ `logs:CreateLogDelivery`
+ `logs:PutResourcePolicy`
+ `logs:DescribeResourcePolicies`
+ `logs:DescribeLogGroups`
**catatan**
Saat Anda menentukan`logs:DescribeLogGroups`,`logs:DescribeResourcePolicies`, atau `logs:PutResourcePolicy` izin, pastikan untuk mengatur ARN `Resource` barisnya untuk menggunakan `*` wildcard, alih-alih hanya menentukan satu nama grup log. Sebagai contoh, `"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"`.
Jika salah satu jenis log ini sudah dikirim ke grup CloudWatch log di Log, maka untuk mengatur pengiriman salah satu jenis log ini ke grup log yang sama, Anda hanya perlu `logs:CreateLogDelivery` izin.
**Kebijakan sumber daya grup log**
Grup log tempat log dikirim harus memiliki kebijakan sumber daya yang mencakup izin tertentu. Jika grup log saat ini tidak memiliki kebijakan sumber daya, dan pengguna yang mengatur logging memiliki`logs:PutResourcePolicy`,`logs:DescribeResourcePolicies`, dan `logs:DescribeLogGroups` izin untuk grup log, maka AWS secara otomatis membuat kebijakan berikut untuk itu ketika Anda mulai mengirim CloudWatch log ke Log. Untuk langganan yang baru dibuat, kebijakan sumber daya dikonfigurasi pada tingkat grup log dan memiliki ukuran maksimum 51.200 byte. Jika kebijakan sumber daya tingkat akun yang ada sudah memberikan izin melalui wildcard, kebijakan tingkat grup log terpisah tidak akan dibuat. Untuk memeriksa kebijakan sumber daya tingkat Loggroup untuk grup log tertentu, gunakan `describe-resource-policies` perintah dengan parameter yang disetel ke grup log ARN dan `--resource-arn` parameter yang disetel ke. `--policy-scope` `RESOURCE`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
Batas kebijakan sumber daya grup log adalah 51.200 byte. Setelah batas ini tercapai, AWS tidak dapat menambahkan izin baru. Ini mengharuskan pelanggan untuk memodifikasi kebijakan secara manual untuk memberikan izin utama `delivery.logs.amazonaws.com` layanan pada `logs:PutLogEvents` tindakan `logs:CreateLogStream` dan tindakan. Pelanggan harus menggunakan awalan nama grup log dengan wildcard seperti `/aws/vendedlogs/*` dan menggunakan nama grup log ini untuk pembuatan Pengiriman di masa mendatang.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
# Log yang dikirim ke Amazon S3
Saat Anda menyetel log untuk dikirim ke Amazon S3, AWS buat atau ubah kebijakan sumber daya yang terkait dengan bucket S3 yang menerima log, jika diperlukan.
Log yang diterbitkan langsung ke Amazon S3 diterbitkan ke bucket lama yang Anda tentukan. Satu atau lebih berkas log dibuat setiap lima menit dalam bucket yang ditetapkan.
Ketika Anda mengirimkan log untuk pertama kalinya ke bucket Amazon S3, layanan yang mengirimkan log mencatat pemilik bucket untuk memastikan bahwa log dikirim hanya untuk bucket milik akun ini. Oleh karenanya, untuk mengubah pemilik bucket Amazon S3, Anda harus membuat ulang atau memperbarui langganan log di layanan asal.
**catatan**
CloudFront menggunakan model izin yang berbeda dari layanan lain yang mengirim log vended ke S3. Untuk informasi selengkapnya, lihat [ Izin yang diperlukan untuk mengonfigurasi pencatatan log standar dan untuk mengakses berkas log Anda](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html#AccessLogsBucketAndFileOwnership).
Selain itu, jika Anda menggunakan bucket S3 yang sama untuk log CloudFront akses dan sumber log lainnya, mengaktifkan ACL di bucket CloudFront juga memberikan izin ke semua sumber log lain yang menggunakan bucket ini.
**penting**
Jika Anda mengirim log ke bucket Amazon S3 dan kebijakan bucket berisi `NotPrincipal` elemen `NotAction` atau, menambahkan izin pengiriman log ke bucket secara otomatis dan membuat langganan log akan gagal. Agar berhasil membuat langganan log, Anda perlu menambahkan izin pengiriman log secara manual ke kebijakan bucket, lalu membuat langganan log. Untuk informasi lebih lanjut, lihat petunjuk di bagian ini.
Jika bucket memiliki enkripsi sisi server menggunakan AWS KMS kunci yang dikelola pelanggan, Anda juga harus menambahkan kebijakan kunci untuk kunci terkelola pelanggan Anda. Untuk informasi selengkapnya, lihat [Enkripsi sisi server bucket Amazon S3](#AWS-logs-SSE-KMS-S3).
Jika bucket tujuan mengaktifkan SSE-KMS dan Kunci Bucket, kebijakan kunci KMS terkelola pelanggan terlampir tidak lagi berfungsi seperti yang diharapkan untuk semua permintaan. Untuk informasi selengkapnya, lihat [Mengurangi biaya SSE-KMS dengan Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) Bucket Keys.
Jika Anda menggunakan log penjual otomatis dan enkripsi S3 dengan AWS KMS kunci yang dikelola pelanggan, Anda harus menggunakan AWS KMS ARN kunci yang sepenuhnya memenuhi syarat alih-alih ID kunci saat mengonfigurasi bucket. Untuk informasi selengkapnya, lihat [ put-bucket-encryption](https://docs.aws.amazon.com/cli/latest/reference/s3api/put-bucket-encryption.html).
**Izin pengguna**
Untuk dapat mengatur pengiriman salah satu jenis log ini ke Amazon S3 untuk pertama kalinya, Anda harus masuk ke akun dengan izin berikut.
+ `logs:CreateLogDelivery`
+ `S3:GetBucketPolicy`
+ `S3:PutBucketPolicy`
Jika salah satu jenis log ini sudah dikirim ke bucket Amazon S3, untuk mengatur pengiriman dari salah satu jenis log ini ke bucket yang sama Anda hanya perlu memiliki izin `logs:CreateLogDelivery`.
**Kebijakan sumber daya bucket S3**
Bucket S3 tempat log dikirim harus memiliki kebijakan sumber daya yang mencakup izin tertentu. Jika saat ini bucket tidak memiliki kebijakan sumber daya, dan pengguna yang mengatur pencatatan memiliki izin `S3:GetBucketPolicy` dan `S3:PutBucketPolicy` untuk bucket, maka AWS secara otomatis membuat kebijakan berikut ini saat Anda mulai mengirim log ke Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "AWSLogDeliveryWrite20150319",
"Statement": [
{
"Sid": "AWSLogDeliveryAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
},
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/account-ID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
Dalam kebijakan sebelumnya, untuk`aws:SourceAccount`, tentukan daftar ID akun tempat log dikirimkan ke bucket ini. Untuk`aws:SourceArn`, tentukan daftar ARNs sumber daya yang menghasilkan log, dalam formulir`arn:aws:logs:source-region:source-account-id:*`.
Jika bucket memiliki kebijakan sumber daya tetapi kebijakan tersebut tidak berisi pernyataan yang ditampilkan di kebijakan sebelumnya, dan pengguna yang menyiapkan logging memiliki `S3:PutBucketPolicy` izin `S3:GetBucketPolicy` dan untuk bucket, pernyataan tersebut akan ditambahkan ke kebijakan sumber daya bucket.
**catatan**
Dalam beberapa kasus, Anda mungkin melihat `AccessDenied` kesalahan AWS CloudTrail jika `s3:ListBucket` izin belum diberikan`delivery.logs.amazonaws.com`. Untuk menghindari kesalahan ini di CloudTrail log Anda, Anda harus memberikan `s3:ListBucket` izin `delivery.logs.amazonaws.com` dan Anda harus menyertakan `Condition` parameter yang ditampilkan dengan `s3:GetBucketAcl` izin yang ditetapkan dalam kebijakan bucket sebelumnya. Untuk membuatnya lebih sederhana, alih-alih membuat yang baru`Statement`, Anda dapat langsung memperbarui `AWSLogDeliveryAclCheck` to be `“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]`
## Enkripsi sisi server bucket Amazon S3
Anda dapat melindungi data di bucket Amazon S3 dengan mengaktifkan Enkripsi sisi server dengan kunci yang dikelola Amazon S3 (SSE-S3) atau enkripsi sisi server dengan kunci yang disimpan di (SSE-KMS). AWS KMS AWS Key Management Service Untuk informasi selengkapnya, silakan lihat [ Melindungi data menggunakan enkripsi sisi server](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html).
Jika Anda memilih SSE-S3, tidak diperlukan konfigurasi tambahan. Amazon S3 menangani kunci enkripsi.
**Awas**
Jika Anda memilih SSE-KMS, Anda harus menggunakan kunci yang dikelola pelanggan, karena menggunakan kunci AWS terkelola tidak didukung untuk skenario ini. Jika Anda mengatur enkripsi menggunakan kunci AWS terkelola, log akan dikirimkan dalam format yang tidak dapat dibaca.
Saat menggunakan AWS KMS kunci terkelola pelanggan, Anda dapat menentukan Nama Sumber Daya Amazon (ARN) kunci terkelola pelanggan saat mengaktifkan enkripsi bucket. Anda harus menambahkan hal berikut ke kebijakan kunci untuk kunci terkelola pelanggan Anda (bukan ke kebijakan bucket untuk bucket S3 Anda), sehingga akun pengiriman log dapat menulis ke bucket S3 Anda.
Jika Anda memilih SSE-KMS, Anda harus menggunakan kunci yang dikelola pelanggan, karena menggunakan kunci AWS terkelola tidak didukung untuk skenario ini. Saat menggunakan AWS KMS kunci terkelola pelanggan, Anda dapat menentukan Nama Sumber Daya Amazon (ARN) kunci terkelola pelanggan saat mengaktifkan enkripsi bucket. Anda harus menambahkan hal berikut ke kebijakan kunci untuk kunci terkelola pelanggan Anda (bukan ke kebijakan bucket untuk bucket S3 Anda), sehingga akun pengiriman log dapat menulis ke bucket S3 Anda.
```
{
"Sid": "Allow Logs Delivery to use the key",
"Effect": "Allow",
"Principal": {
"Service": [ "delivery.logs.amazonaws.com" ]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["0123456789"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-1:0123456789:*"]
}
}
}
```
Untuk`aws:SourceAccount`, tentukan daftar ID akun tempat log dikirimkan ke bucket ini. Untuk`aws:SourceArn`, tentukan daftar ARNs sumber daya yang menghasilkan log, dalam formulir`arn:aws:logs:source-region:source-account-id:*`.
# Log dikirim ke Firehose
Bagian ini berlaku ketika jenis log yang tercantum dalam tabel di bagian sebelumnya dikirim ke Firehose:
**Izin pengguna**
Untuk dapat mengatur pengiriman salah satu jenis log ini ke Firehose untuk pertama kalinya, Anda harus masuk ke akun dengan izin berikut.
+ `logs:CreateLogDelivery`
+ `firehose:TagDeliveryStream`
+ `iam:CreateServiceLinkedRole`
Jika salah satu dari jenis log ini sudah dikirim ke Firehose, maka untuk mengatur pengiriman salah satu dari jenis log ini ke Firehose, Anda hanya perlu memiliki izin dan izin. `logs:CreateLogDelivery` `firehose:TagDeliveryStream`
**Peran IAM yang digunakan untuk izin**
Karena Firehose tidak menggunakan kebijakan sumber daya, AWS menggunakan peran IAM saat menyiapkan log ini untuk dikirim ke Firehose. AWS membuat peran terkait layanan bernama. **AWSServiceRoleForLogDelivery** Peran terkait layanan ini mencakup izin berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:ListTagsForDeliveryStream"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/LogDeliveryEnabled": "true"
}
},
"Effect": "Allow"
}
]
}
```
------
Peran terkait layanan ini memberikan izin untuk semua aliran pengiriman Firehose yang memiliki tag yang disetel ke. `LogDeliveryEnabled` `true` AWS memberikan tag ini ke aliran pengiriman tujuan saat Anda mengatur logging.
Peran terkait layanan ini juga memiliki kebijakan kepercayaan yang memungkinkan layanan `delivery.logs.amazonaws.com` utama untuk mengasumsikan peran yang terhubung dengan layanan yang diperlukan. Kebijakan kepercayaan tersebut adalah sebagai berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------