로그 전송을 위한 추가 권한

복제기에서 로그 전송을 구성하는 경우 아래 적절한 문을 기본 정책에 추가합니다. 활성화한 대상에 대한 코드 조각만 필요합니다.

Amazon CloudWatch Logs 대상

가 logDelivery 구성true에 cloudWatchLogs.enabled 있을 때 다음 문을 추가합니다.


{
    "Sid": "CloudWatchLogsLogDeliveryActions",
    "Effect": "Allow",
    "Action": [
        "logs:CreateLogDelivery",
        "logs:PutResourcePolicy",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups",
        "logs:ListLogDeliveries"
    ],
    "Resource": [
        "*"
    ]
}

Amazon S3 대상

s3.enabled가 일 때 다음 문을 추가합니다true. <logBucketName>를 대상 버킷 이름으로 바꿉니다.


[
    {
        "Sid": "S3LogDeliveryActions",
        "Effect": "Allow",
        "Action": [
            "logs:CreateLogDelivery",
            "logs:ListLogDeliveries"
        ],
        "Resource": [
            "*"
        ]
    },
    {
        "Sid": "S3BucketLogDeliveryActions",
        "Effect": "Allow",
        "Action": [
            "s3:GetBucketPolicy",
            "s3:PutBucketPolicy"
        ],
        "Resource": "arn:aws:s3:::<logBucketName>"
    }
]

Firehose 대상

firehose.enabled가 일 때 다음 문을 추가합니다true. 를 AWS 계정 ID<accountID>로 바꿉니다.


[
    {
        "Sid": "FirehoseLogDeliveryActions",
        "Effect": "Allow",
        "Action": [
            "logs:CreateLogDelivery",
            "logs:ListLogDeliveries",
            "firehose:TagDeliveryStream"
        ],
        "Resource": [
            "*"
        ]
    },
    {
        "Sid": "FirehoseLogDeliveryServiceLinkedRole",
        "Effect": "Allow",
        "Action": [
            "iam:CreateServiceLinkedRole"
        ],
        "Resource": "arn:aws:iam::<accountID>:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery"
    }
]

벤딩 로그 권한에 대한 자세한 내용은 AWS 서비스에서 로깅 활성화를 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

필수 IAM 권한

IAM 권한 참조