Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione dei log di Amazon MQ per ActiveMQ
Per consentire ad Amazon MQ di pubblicare i log su CloudWatch Logs, devi [aggiungere un'autorizzazione al tuo utente Amazon MQ](#security-logging-monitoring-configure-cloudwatch-permissions) e [configurare anche una policy basata sulle risorse per Amazon MQ prima di creare o riavviare](#security-logging-monitoring-configure-cloudwatch-resource-permissions) il broker.
**Nota**
Quando si attivano i registri e si pubblicano messaggi dalla console Web ActiveMQ, il contenuto del messaggio viene inviato CloudWatch e visualizzato nei registri.
Di seguito vengono descritti i passaggi per configurare CloudWatch i log per i broker ActiveMQ.
**Topics**
+ [Comprensione della struttura di registrazione nei log CloudWatch](#security-logging-monitoring-configure-cloudwatch-structure)
+ [Aggiunta dell'autorizzazione `CreateLogGroup` all'utente Amazon MQ](#security-logging-monitoring-configure-cloudwatch-permissions)
+ [Configurare una policy basata sulle risorse per Amazon MQ](#security-logging-monitoring-configure-cloudwatch-resource-permissions)
+ [Prevenzione del confused deputy tra servizi](#security-logging-monitoring-configure-cloudwatch-confused-deputy)
## Comprensione della struttura di registrazione nei log CloudWatch
È possibile abilitare la registrazione *generale* e di *controllo* quando si configurano le impostazioni avanzate del broker, quando si crea un broker o quando si modifica un broker.
La registrazione generale abilita il livello di `INFO` registrazione predefinito (la `DEBUG` registrazione non è supportata) e viene pubblicata `activemq.log` su un gruppo di log del tuo account. CloudWatch Il formato del gruppo di log è simile al seguente:
```
/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/general
```
La [registrazione di controllo consente la](http://activemq.apache.org/audit-logging.html) registrazione delle azioni di gestione eseguite utilizzando JMX o utilizzando la console Web ActiveMQ e le pubblica `audit.log` in un gruppo di log dell'account. CloudWatch Il formato del gruppo di log è simile al seguente:
```
/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/audit
```
A seconda che si disponga di un [broker a istanza singola](amazon-mq-broker-architecture.md#single-broker-deployment) o un [broker attivo/in standby](amazon-mq-broker-architecture.md#active-standby-broker-deployment), Amazon MQ crea uno o due flussi di registri all'interno di ogni gruppo di registri. Il formato dei flussi di log è simile al seguente.
```
activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-1.log
activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-2.log
```
I suffissi `-1` e `-2` denotano singole istanze broker. Per ulteriori informazioni, consulta [Working with Log Groups and Log Streams](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) nella *[Amazon CloudWatch Logs User Guide.](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*
## Aggiunta dell'autorizzazione `CreateLogGroup` all'utente Amazon MQ
Per consentire ad Amazon MQ di creare un gruppo di log CloudWatch Logs, devi assicurarti che l'utente che crea o riavvia il broker disponga dell'`logs:CreateLogGroup`autorizzazione.
**Importante**
Se non aggiungi l'autorizzazione `CreateLogGroup` all'utente Amazon MQ prima che l'utente crei o riavvi il broker, Amazon MQ non crea il gruppo di registri.
L'esempio seguente della [policy basata su IAM](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html#identity-based-policies-cwl) concede l'autorizzazioni `logs:CreateLogGroup` per gli utenti ai quali è associata questa policy.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*"
}
]
}
```
------
**Nota**
Qui il termine utente si riferisce agli *utenti IAM* e non agli *utenti Amazon MQ*, che vengono creati quando viene configurato un nuovo broker. Per ulteriori informazioni sulla configurazione degli utenti e delle policy IAM, fare riferimento alla [Panoramica della gestione delle identità](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_identity-management.html) della Guida per l'utente di IAM.
Per ulteriori informazioni, `[CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)` consulta *Amazon CloudWatch Logs API Reference.*
## Configurare una policy basata sulle risorse per Amazon MQ
**Importante**
Se non configuri una policy basata sulle risorse per Amazon MQ, il broker non può pubblicare i log su Logs. CloudWatch
Per consentire ad Amazon MQ di pubblicare i log nel tuo gruppo di log CloudWatch Logs, configura una policy basata sulle risorse per consentire ad Amazon MQ di accedere alle seguenti azioni dell'API Logs: CloudWatch
+ `[CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html)`— Crea un flusso di CloudWatch log di Logs per il gruppo di log specificato.
+ `[PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html)`— Fornisce gli eventi al flusso di log di CloudWatch Logs specificato.
La seguente politica basata sulle risorse concede l'autorizzazione a e a. `logs:CreateLogStream` `logs:PutLogEvents` AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "mq.amazonaws.com" },
"Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ],
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*"
}
]
}
```
------
Questa politica basata sulle risorse *deve* essere configurata utilizzando il AWS CLI comando seguente. Nell'esempio, sostituire `us-east-1` con le tue informazioni.
```
aws --region us-east-1 logs put-resource-policy --policy-name AmazonMQ-logs \
--policy-document "{\"Version\": \"2012-10-17\", \"Statement\":[{ \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"mq.amazonaws.com\" },
\"Action\": [\"logs:CreateLogStream\", \"logs:PutLogEvents\"], \"Resource\": \"arn:aws:logs:*:*:log-group:\/aws\/amazonmq\/*\" }]}"
```
**Nota**
Poiché questo esempio utilizza il `/aws/amazonmq/` prefisso, è necessario configurare la politica basata sulle risorse solo una volta per account e per regione. AWS
## Prevenzione del confused deputy tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può portare al confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare che ciò accada, AWS mette a disposizione strumenti che consentono di proteggere i dati relativi a tutti i servizi con responsabili del servizio a cui è stato concesso l'accesso alle risorse del vostro account.
Ti consigliamo di utilizzare le chiavi contestuali `[aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)` e le condizioni `[aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)` globali nella policy basata sulle risorse di Amazon MQ per limitare l'accesso ai CloudWatch log a uno o più broker specifici.
**Nota**
Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, il valore `aws:SourceAccount` e l'account nel valore `aws:SourceArn` devono utilizzare lo stesso ID account nella stessa istruzione di policy.
L'esempio seguente dimostra una policy basata sulle risorse che limita l'accesso ai CloudWatch log a un singolo broker Amazon MQ.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mq.amazonaws.com"
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:mq:us-west-1:123456789012:broker:my-broker:123456789012"
}
}
}
]
}
```
------
Puoi anche configurare una politica basata sulle risorse per limitare l'accesso ai CloudWatch log a tutti i broker di un account, come illustrato di seguito.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"mq.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:mq:*:123456789012:broker:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
]
}
```
------
Per ulteriori informazioni sul problema di sicurezza "confused deputy", consulta [Problema del "confused deputy"](https://docs.aws.amazon.com/hIAM/latest/UserGuide/confused-deputy.html) nella *Guida per l'utente di IAM*.