기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
CloudWatch Logs로 전송된 로그
사용자 권한
CloudWatch Logs로 로그를 전송하려면 다음 권한으로 로그인해야 합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:444455556666:delivery-source:*",
"arn:aws:logs:us-east-1:777788889999:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyCWL",
"Effect": "Allow",
"Action": [
"logs:PutResourcePolicy",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:*"
]
}
]
}
로그 그룹 리소스 정책
로그를 보내는 로그 그룹에는 특정 권한이 포함된 리소스 정책이 있어야 합니다. 로그 그룹에 현재 리소스 정책이 없고 로깅을 설정하는 사용자에게 로그 그룹에 대한 logs:PutResourcePolicy,logs:DescribeResourcePolicies 및 logs:DescribeLogGroups 권한이 있는 경우 AWS
에서는 로그를 CloudWatch Logs 로그로 전송하기 시작할 때 자동으로 다음 정책을 생성합니다. 새로 생성된 구독의 경우 리소스 정책은 로그 그룹 수준에서 구성되며 최대 크기는 51,200바이트입니다. 기존 계정 수준 리소스 정책이 이미 와일드카드를 통해 권한을 부여하는 경우 별도의 로그 그룹 수준 정책은 생성되지 않습니다. 특정 로그 그룹에 대한 logGroup 수준 리소스 정책을 확인하려면 --resource-arn 파라미터를 로그 그룹 ARN으로 설정하고 --policy-scope 파라미터를 로 설정한 describe-resource-policies 명령을 사용합니다RESOURCE.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
로그 그룹의 리소스 정책 한도는 51,200바이트입니다. 이 한도에 도달하면 AWS는 새 권한을 추가할 수 없습니다. 이렇게 하려면 고객이 정책을 수동으로 수정하여 logs:CreateLogStream 및 logs:PutLogEvents 작업에 대한 delivery.logs.amazonaws.com 서비스 보안 주체 권한을 부여해야 합니다. 고객은와 같은 와일드카드와 함께 로그 그룹 이름 접두사를 사용해야 /aws/vendedlogs/* 하며 향후 전송 생성을 위해이 로그 그룹 이름을 사용해야 합니다.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
