Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Registrazione che richiede autorizzazioni aggiuntive [V2]
Alcuni AWS servizi utilizzano un nuovo metodo per inviare i propri log. Si tratta di un metodo flessibile che consente di configurare la consegna dei log da questi servizi verso una o più delle seguenti destinazioni: CloudWatch Logs, Amazon S3 o Firehose e X-Ray per la consegna tramite traccia.
Una consegna di log funzionante è composta da tre elementi:
+ A`DeliverySource`, che è un oggetto logico che rappresenta le risorse che effettivamente inviano i log.
+ A`DeliveryDestination`, che è un oggetto logico che rappresenta la destinazione di consegna effettiva.
+ A`Delivery`, che collega una fonte di consegna alla destinazione di consegna
Per configurare la consegna dei log tra un AWS servizio supportato e una destinazione, devi fare quanto segue:
+ Crea una fonte di consegna con [PutDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html).
+ Crea una destinazione di consegna con [PutDeliveryDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestination.html).
+ Se stai consegnando i log su più account, devi utilizzarli [ PutDeliveryDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestinationPolicy.html)nell'account di destinazione per assegnare una IAM politica alla destinazione. Questa politica autorizza la creazione di una consegna dalla fonte di consegna nell'account A alla destinazione di consegna nell'account B. Per la consegna tra account, è necessario creare manualmente le politiche di autorizzazione.
+ Crea una consegna associando esattamente una fonte di consegna e una destinazione di consegna, utilizzando. [ CreateDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateDelivery.html)
Le sezioni seguenti forniscono i dettagli delle autorizzazioni necessarie quando si effettua l'accesso per configurare la consegna dei log a ciascun tipo di destinazione utilizzando il processo V2. Queste autorizzazioni possono essere concesse a un ruolo IAM con cui hai effettuato l'accesso.
**Importante**
È responsabilità dell'utente rimuovere le risorse di consegna dei log dopo aver eliminato la risorsa che genera i log. A tale scopo, segui questi passaggi.
Eliminare il `Delivery` utilizzando l'[DeleteDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDelivery.html)operazione.
Eliminare il `DeliverySource` utilizzando l'[DeleteDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDeliverySource.html)operazione.
Se l'`DeliveryDestination`elemento associato a `DeliverySource` quello che hai appena eliminato viene utilizzato solo per questo specifico`DeliverySource`, puoi rimuoverlo utilizzando l'[DeleteDeliveryDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDeliveryDestinations.html)operazione.
**Contents**
+ [Registri inviati a CloudWatch Logs](AWS-logs-infrastructure-V2-CloudWatchLogs.md)
+ [Log inviati ad Amazon S3](AWS-logs-infrastructure-V2-S3.md)
+ [Amazon S3](AWS-logs-infrastructure-V2-S3.md#AWS-logs-SSE-KMS-S3-V2)
+ [Log inviati a Firehose](AWS-logs-infrastructure-V2-Firehose.md)
+ [Tracce inviate a X-Ray](AWS-logs-infrastructure-V2-XRayTraces.md)
# Registri inviati a CloudWatch Logs
**Autorizzazioni degli utenti**
Per abilitare l'invio dei log ai CloudWatch registri, è necessario accedere con le seguenti autorizzazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:444455556666:delivery-source:*",
"arn:aws:logs:us-east-1:777788889999:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyCWL",
"Effect": "Allow",
"Action": [
"logs:PutResourcePolicy",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:*"
]
}
]
}
```
------
**Policy delle risorse del gruppo di log**
Il gruppo di log in cui vengono inviati i log deve disporre di una policy delle risorse che includa determinate autorizzazioni. Se al momento il gruppo di log non dispone di una politica in materia di risorse e l'utente che configura la `logs:PutResourcePolicy` registrazione dispone `logs:DescribeLogGroups` delle autorizzazioni relative al gruppo di log, crea AWS automaticamente la seguente politica quando si inizia a inviare i log a Logs. `logs:DescribeResourcePolicies` CloudWatch Per le sottoscrizioni appena create, le politiche delle risorse sono configurate a livello di gruppo di log e hanno una dimensione massima di 51.200 byte. Se una politica di risorse esistente a livello di account concede già le autorizzazioni tramite wildcard, non verrebbe creata una politica a livello di gruppo di log separata. Per verificare la politica delle risorse a livello di LogGroup per uno specifico gruppo di log, utilizzare il `describe-resource-policies` comando con il `--resource-arn` parametro impostato sul gruppo di log ARN e il parametro impostato su. `--policy-scope` `RESOURCE`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
Il limite della politica delle risorse del gruppo di log è di 51.200 byte. Una volta raggiunto questo limite, AWS non può aggiungere nuove autorizzazioni. Ciò richiede che i clienti modifichino manualmente la policy per concedere al `delivery.logs.amazonaws.com` servizio le autorizzazioni principali sulle azioni `logs:CreateLogStream` e`logs:PutLogEvents`. I clienti devono utilizzare un prefisso per il nome del gruppo di log con caratteri jolly come `/aws/vendedlogs/*` e utilizzare questo nome per le future creazioni di Delivery.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
# Log inviati ad Amazon S3
**Autorizzazioni degli utenti**
Per abilitare l'invio di log ad Amazon S3, devi aver effettuato l'accesso con le seguenti autorizzazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:111122223333:delivery-source:*",
"arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyS3",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::bucket-name"
}
]
}
```
------
Il bucket S3 in cui vengono inviati i log deve disporre di una policy delle risorse che include determinate autorizzazioni. Se il bucket al momento non dispone di una policy delle risorse e l'utente che imposta la registrazione ha le autorizzazioni `S3:GetBucketPolicy` e `S3:PutBucketPolicy` per il bucket, AWS crea automaticamente la seguente policy quando inizi a inviare i log ad Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "AWSLogDeliveryWrite20150319",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/account-ID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:delivery-source:*"
]
}
}
}
]
}
```
------
Nella policy precedente, per `aws:SourceAccount`, specifica l'elenco degli ID account per i quali i log vengono consegnati a questo bucket. Per`aws:SourceArn`, specifica l'elenco ARNs della risorsa che genera i log, nel modulo. `arn:aws:logs:source-region:source-account-id:*`
Se il bucket dispone di una policy delle risorse, ma tale criterio non contiene l'istruzione mostrata nella policy precedente e l'utente che imposta la registrazione ha le autorizzazioni `S3:GetBucketPolicy` e `S3:PutBucketPolicy` per il bucket, tale istruzione viene aggiunta alla policy delle risorse del bucket.
**Nota**
In alcuni casi, è possibile che vengano visualizzati `AccessDenied` degli errori AWS CloudTrail se l'`s3:ListBucket`autorizzazione non è stata concessa`delivery.logs.amazonaws.com`. Per evitare questi errori nei CloudTrail log, è necessario concedere l'`s3:ListBucket`autorizzazione `delivery.logs.amazonaws.com` e includere `Condition` i parametri mostrati con l'`s3:GetBucketAcl`autorizzazione impostata nella precedente policy del bucket. Per renderlo più semplice, invece di creare una nuova `Statement`, puoi aggiornar direttamente`AWSLogDeliveryAclCheck` per essere `“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]`
## Crittografia lato server di bucket Amazon S3
Puoi proteggere i dati nel tuo bucket Amazon S3 abilitando la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) o la crittografia lato server con una chiave archiviata in (SSE-KMS). AWS KMS AWS Key Management Service Per ulteriori informazioni, consulta [Protezione dei dati con la crittografia lato server](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html).
Se si sceglie SSE-S3, non è richiesta alcuna configurazione aggiuntiva. Amazon S3 gestisce la chiave di crittografia.
**avvertimento**
Se scegli SSE-KMS, devi utilizzare una chiave gestita dal cliente, poiché l'utilizzo di una chiave gestita non è supportato in questo scenario. AWS Se si configura la crittografia utilizzando una chiave AWS gestita, i log verranno consegnati in un formato illeggibile.
Quando utilizzi una AWS KMS chiave gestita dal cliente, puoi specificare l'Amazon Resource Name (ARN) della chiave gestita dal cliente quando abiliti la crittografia dei bucket. È necessario aggiungere quanto segue alla policy della chiave per la chiave gestita dal cliente (non alla policy di bucket per il bucket S3), in modo che l'account di consegna del log possa scrivere nel bucket S3.
Se si sceglie SSE-KMS, è necessario utilizzare una chiave gestita dal cliente, perché utilizzando una chiave gestita AWS non è supportata per questo scenario. Quando utilizzi una AWS KMS chiave gestita dal cliente, puoi specificare l'Amazon Resource Name (ARN) della chiave gestita dal cliente quando abiliti la crittografia dei bucket. È necessario aggiungere quanto segue alla policy della chiave per la chiave gestita dal cliente (non alla policy di bucket per il bucket S3), in modo che l'account di consegna del log possa scrivere nel bucket S3.
```
{
"Sid": "Allow Logs Delivery to use the key",
"Effect": "Allow",
"Principal": {
"Service": [ "delivery.logs.amazonaws.com" ]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["0123456789"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-1:0123456789:delivery-source:*"]
}
}
}
```
Per `aws:SourceAccount`, specifica l'elenco degli ID account per i quali i log vengono consegnati a questo bucket. Per`aws:SourceArn`, specifica l'elenco ARNs della risorsa che genera i log, nel modulo. `arn:aws:logs:source-region:source-account-id:*`
# Log inviati a Firehose
**Autorizzazioni degli utenti**
Per abilitare l'invio di log a Firehose, è necessario accedere con le seguenti autorizzazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:111122223333:delivery-source:*",
"arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyFH",
"Effect": "Allow",
"Action": [
"firehose:TagDeliveryStream"
],
"Resource": [
"arn:aws:firehose:us-east-1:111122223333:deliverystream/*"
]
},
{
"Sid": "CreateServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery"
}
]
}
```
------
**Ruoli IAM utilizzati per le autorizzazioni delle risorse**
Poiché Firehose non utilizza policy relative alle risorse, AWS utilizza i ruoli IAM per configurare questi log da inviare a Firehose. AWS crea un ruolo collegato al servizio denominato. **AWSServiceRoleForLogDelivery** Questo ruolo collegato al servizio include le autorizzazioni seguenti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:ListTagsForDeliveryStream"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/LogDeliveryEnabled": "true"
}
},
"Effect": "Allow"
}
]
}
```
------
Questo ruolo collegato al servizio concede l'autorizzazione per tutti i flussi di distribuzione Firehose con il tag impostato su. `LogDeliveryEnabled` `true` AWS assegna questo tag al flusso di consegna di destinazione quando si configura la registrazione.
Questo ruolo collegato al servizio dispone inoltre di una policy di attendibilità che autorizzi il principale del servizio `delivery.logs.amazonaws.com` di assumere il ruolo collegato al servizio necessario. Questa policy di attendibilità è la seguente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Tracce inviate a X-Ray
**Autorizzazioni degli utenti**
Per abilitare l'invio di tracce a AWS X-Ray, devi aver effettuato l'accesso con le seguenti autorizzazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:111122223333:delivery-source:*",
"arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyXRay",
"Effect": "Allow",
"Action": [
"xray:PutResourcePolicy",
"xray:ListResourcePolicies",
"xray:GetTraceSegmentDestination"
],
"Resource": "*"
}
]
}
```
------
**Politica sulle risorse a raggi X**
L'account di destinazione a cui vengono inviate le tracce deve disporre di una politica delle risorse che includa determinate autorizzazioni. Quando l'utente che configura il tracciamento dispone `xray:PutResourcePolicy` `xray:ListResourcePolicies` delle autorizzazioni necessarie nell'account, crea AWS automaticamente la politica delle risorse quando si inizia a inviare le tracce a X-Ray. La politica creata dipende dal servizio di origine:
**Amazon Bedrock AgentCore resources**
AWS crea una politica delle risorse per tipo di risorsa. La policy utilizza modelli di caratteri jolly relativi ai confini dell'account e coprono tutte le risorse dello stesso tipo di Amazon Bedrock AgentCore risorsa presenti nell'account. Ad esempio, se una risorsa di *Amazon Bedrock AgentCorememoria* è abilitata per l'invio di tracce, la policy copre tutte le risorse di memoria di quell'account, incluse le risorse di memoria create in futuro.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "xray:PutTraceSegments",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ForAllValues:ArnLike": {
"logs:LogGeneratingResourceArns": "arn:aws:bedrock-agentcore:us-east-1:123456789012:memory/*"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:delivery-source:*"
}
}
}
]
}
```
**Altri AWS servizi**
Per altri servizi che supportano la distribuzione delle tracce, AWS crea una politica delle risorse relativa alla risorsa di origine specifica.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "xray:PutTraceSegments",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ForAllValues:ArnLike": {
"logs:LogGeneratingResourceArns": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:delivery-source:xray-test"
}
}
}
]
}
```
**Abilita la ricerca delle transazioni**
Per abilitare l'invio di tracce a X-Ray, è necessario abilitare la ricerca [delle transazioni](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Enable-Lambda-TransactionSearch.html).