기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # CloudWatch Logs로 전송된 로그 **사용자 권한** CloudWatch Logs로 로그를 전송하려면 다음 권한으로 로그인해야 합니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery", "logs:UpdateDeliveryConfiguration" ], "Resource": [ "arn:aws:logs:us-east-1:111122223333:delivery:*", "arn:aws:logs:us-east-1:444455556666:delivery-source:*", "arn:aws:logs:us-east-1:777788889999:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeConfigurationTemplates" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyCWL", "Effect": "Allow", "Action": [ "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": [ "arn:aws:logs:us-east-1:123456789012:*" ] } ] } ``` ------ **로그 그룹 리소스 정책** 로그를 보내는 로그 그룹에는 특정 권한이 포함된 리소스 정책이 있어야 합니다. 로그 그룹에 현재 리소스 정책이 없고 로깅을 설정하는 사용자에게 로그 그룹에 대한 `logs:PutResourcePolicy`,`logs:DescribeResourcePolicies` 및 `logs:DescribeLogGroups` 권한이 있는 경우 AWS 에서는 로그를 CloudWatch Logs 로그로 전송하기 시작할 때 자동으로 다음 정책을 생성합니다. 새로 생성된 구독의 경우 리소스 정책은 로그 그룹 수준에서 구성되며 최대 크기는 51,200바이트입니다. 기존 계정 수준 리소스 정책이 이미 와일드카드를 통해 권한을 부여하는 경우 별도의 로그 그룹 수준 정책은 생성되지 않습니다. 특정 로그 그룹에 대한 logGroup 수준 리소스 정책을 확인하려면 `--resource-arn` 파라미터를 로그 그룹 ARN으로 설정하고 `--policy-scope` 파라미터를 로 설정한 `describe-resource-policies` 명령을 사용합니다`RESOURCE`. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*" ], "Condition": { "StringEquals": { "aws:SourceAccount": [ "0123456789" ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:us-east-1:111122223333:*" ] } } } ] } ``` ------ 로그 그룹의 리소스 정책 한도는 51,200바이트입니다. 이 한도에 도달하면 AWS는 새 권한을 추가할 수 없습니다. 이렇게 하려면 고객이 정책을 수동으로 수정하여 `logs:CreateLogStream` 및 `logs:PutLogEvents` 작업에 대한 `delivery.logs.amazonaws.com` 서비스 보안 주체 권한을 부여해야 합니다. 고객은와 같은 와일드카드와 함께 로그 그룹 이름 접두사를 사용해야 `/aws/vendedlogs/*` 하며 향후 전송 생성을 위해이 로그 그룹 이름을 사용해야 합니다. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": [ "0123456789" ] }, "ArnLike": { "aws:SourceArn": [ "arn:aws:logs:us-east-1:111122223333:*" ] } } } ] } ``` ------