As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Habilitar o registro a partir de AWS serviços
Embora muitos serviços publiquem registros somente no CloudWatch Logs, alguns AWS serviços podem publicar registros diretamente no Amazon Simple Storage Service ou no Amazon Data Firehose. Se seu principal requisito de logs for armazenamento ou processamento em um desses serviços, você poderá facilmente fazer com que o serviço que produz os logs os envie diretamente ao Amazon S3 ou ao Firehose sem configuração adicional.
Mesmo quando você publica registros diretamente no Amazon S3 ou no Firehose, CloudWatch as taxas de entrega se aplicam. Se você enviar registros para o Amazon S3, `AWS_REGION-S3-Egress-Bytes` as cobranças aparecerão no Cost Explorer ou na sua fatura. Se você enviar registros para o Firehose, as `AWS_REGION-FH-Egress-Bytes` cobranças serão exibidas. Para obter mais informações sobre preços de registros vendidos, consulte a guia **Registros** em [ CloudWatch Preços da Amazon](https://aws.amazon.com/cloudwatch/pricing/).
Alguns AWS serviços usam uma infraestrutura comum para enviar seus registros. Para ativar o log desses produtos, você deve estar registrado como um usuário com certas permissões. Além disso, você deve conceder permissões AWS para permitir que os registros sejam enviados.
Para serviços que exijam essas permissões, há duas versões das permissões necessárias. Os produtos que exigem essas permissões extras são indicados como **[Permissões v1] compatíveis** e **[Permissões v2] compatíveis** na tabela. Para obter informações sobre essas permissões necessárias, consulte as seções após a tabela.
| Origem do log | Tipo de log | [Registros enviados para CloudWatch Logs](AWS-logs-infrastructure-CWL.md) | [Logs enviados ao Amazon S3](AWS-logs-infrastructure-S3.md) | [Logs enviados ao Firehose](AWS-logs-infrastructure-Firehose.md) | [Rastreamentos enviados ao X-Ray](AWS-logs-infrastructure-V2-XRayTraces.md) |
| --- | --- | --- | --- | --- | --- |
| [ Logs de acesso do Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | | | |
| [AWS AppSync logs](https://docs.aws.amazon.com/appsync/latest/devguide/monitoring.html) | Logs personalizados | Compatível | | | |
| [Logs da Amazon Aurora MySQL](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.CloudWatch.html) | Logs personalizados | Compatível | | | |
| [Amazon Bedrock Registro de bases de conhecimento](https://docs.aws.amazon.com/bedrock/latest/userguide/knowledge-bases-logging.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [Amazon Bedrock Registro do agente](https://docs.aws.amazon.com/bedrock/latest/userguide/model-invocation-logging.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [Amazon Bedrock AgentCore Runtime](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/agents-tools-runtime.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) |
| [Amazon Bedrock AgentCore Gateway](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/gateway.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) |
| [Amazon Bedrock AgentCore Identidade](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/identity.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) |
| [Amazon Bedrock AgentCore Memória](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/memory.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) |
| [Amazon Bedrock AgentCore Ferramentas](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/built-in-tools.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) |
| [ Logs de métricas de qualidade de mídia do Amazon Chime e logs de mensagens SIP](https://docs.aws.amazon.com/chime/latest/ag/monitoring-cloudwatch.html#cw-logs) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | | | |
| [ CloudFront: registros de acesso](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [AWS CloudHSM registros de auditoria](https://docs.aws.amazon.com/cloudhsm/latest/userguide/get-hsm-audit-logs-using-cloudwatch.html) | Logs personalizados | Compatível | | | |
| [ CloudWatch Evidentemente, os registros de eventos de avaliação](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Evidently-datastorage.html#CloudWatch-Evidently-datastorage-logformat) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | | |
| [ CloudWatch Registros do Internet Monitor](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-IM-view-cw-tools.S3_athena.html) | Logs fornecidos | | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | | |
| [ CloudTrail logs](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/monitor-cloudtrail-log-files-with-cloudwatch-logs.html) | Logs personalizados | Compatível | | | |
| [AWS CodeBuild logs](https://docs.aws.amazon.com/codebuild/latest/userguide/getting-started-build-log-console.html) | Logs personalizados | Compatível | | | |
| [Amazon CodeWhisperer registros de eventos](https://docs.aws.amazon.com/eventbridge/latest/ref/events-ref-codewhisperer.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [Amazon Cognito logs](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | | | |
| [ Logs do Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/logging-and-monitoring.html) | Logs personalizados | Compatível | | | |
| [AWS DataSync logs](https://docs.aws.amazon.com/datasync/latest/userguide/monitor-datasync.html#cloudwatchlogs) | Logs personalizados | Compatível | | | |
| [Agente do AWS DevOps logs](https://docs.aws.amazon.com/devopsagent/latest/userguide/configuring-capabilities-for-aws-devops-agent-vended-logs-and-metrics.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [Registros da Amazon ElastiCache (Redis OSS)](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/Log_Delivery.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | |
| [Logs do AWS Elastic Beanstalk](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudwatchlogs.html) | Logs personalizados | Compatível | | | |
| [Logs do Amazon Elastic Container Service](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_cloudwatch_logs.html) | Logs personalizados | Compatível | | | |
| [Registros do modo automático do Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/eks/latest/userguide/auto-managed-component-logs.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [Logs do ambiente de gerenciamento do Serviço Amazon Elastic Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html) | Logs fornecidos | Compatível | | | |
| [AWS Elemental MediaPackage registros de acesso](https://docs.aws.amazon.com/mediapackage/latest/ug/access-logging.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [AWS Elemental MediaTailor logs](https://docs.aws.amazon.com/mediatailor/latest/ug/monitoring-cw-logs.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [Logs do AWS Entity Resolution](https://docs.aws.amazon.com/entityresolution/latest/userguide/what-is-service.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [Amazon EventBridge Registro de tubulações](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-pipes-logs.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | |
| [Amazon EventBridge ônibus para eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-pipes-logs.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [Logs do AWS Fargate](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_awslogs.html) | Logs personalizados | Compatível | | | |
| [Logs de experimento do AWS Fault Injection Service](https://docs.aws.amazon.com/fis/latest/userguide/monitoring-logging.html) | Logs fornecidos | | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | | |
| [Amazon FinSpace](https://docs.aws.amazon.com/finspace/latest/userguide/finspace-what-is.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | |
| [AWS Global Accelerator registros de fluxo](https://docs.aws.amazon.com/global-accelerator/latest/dg/monitoring-global-accelerator.flow-logs.html) | Logs fornecidos | | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | | |
| [Logs de trabalhos do AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/monitor-continuous-logging.html) | Logs personalizados | Compatível | | | |
| [Logs de erros do IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/logging-ad-sync-errors.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [Logs de chat do Amazon Interactive Video Service](https://docs.aws.amazon.com/ivs/latest/LowLatencyUserGuide/chat-logging.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | |
| [Logs do AWS IoT](https://docs.aws.amazon.com/iot/latest/developerguide/cloud-watch-logs.html) | Logs personalizados | Compatível | | | |
| [AWS IoT FleetWise logs](https://docs.aws.amazon.com/iot-fleetwise/latest/developerguide/logging-cw.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | |
| [Logs do AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/monitoring-cloudwatchlogs.html) | Logs fornecidos | Compatível | Compatível | Compatível | |
| [Logs do Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/discovery-jobs-monitor-cw-logs.html) | Logs personalizados | Compatível | | | |
| [Logs do Amazon SES](https://docs.aws.amazon.com/ses/latest/dg/eb-logging.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [AWS Mainframe Modernization](https://docs.aws.amazon.com/m2/latest/userguide/what-is-m2.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | |
| [Logs do Amazon Managed Service for Prometheus](https://docs.aws.amazon.com/prometheus/latest/userguide/CW-logs.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | | | |
| [ Logs do agente do Amazon MSK](https://docs.aws.amazon.com/msk/latest/developerguide/msk-logging.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | |
| [ Logs do Amazon MSK Connect](https://docs.aws.amazon.com/msk/latest/developerguide/msk-connect-logging.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | |
| [Logs do Amazon MQ](https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/configure-logging-monitoring-activemq.html) | Logs personalizados | Compatível | | | |
| [AWS Registros do Firewall de Rede](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | |
| [AWS Registros do Network Firewall Proxy](https://docs.aws.amazon.com/network-firewall/latest/developerguide/proxy-logging-and-monitoring.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [ Logs de acesso do Network Load Balancer ](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-access-logs.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [ OpenSearch logs](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html) | Logs personalizados | Compatível | | | |
| [Registros OpenSearch de ingestão do Amazon Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/monitoring-pipeline-logs.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | |
| Logs do [AWS PCS](https://docs.aws.amazon.com/pcs/latest/userguide/monitoring-overview.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [Logs do conector Amazon Q Business](https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/connectors-list.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [Logs de conversas do Amazon Q Business](https://docs.aws.amazon.com/amazonq/latest/qbusiness-ug/cw-logs-enable-logging.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [Registros de bate-papo e feedback do Amazon Quick](https://docs.aws.amazon.com/quicksuite/latest/userguide/monitoring-quicksuite-chat-feedback-cloudwatch.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [Registros ServicePostgre SQL do Amazon Relational Database](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.Concepts.PostgreSQL.html#USER_LogAccess.PostgreSQL.PublishtoCloudWatchLogs) | Logs personalizados | Compatível | | | |
| AWS Registros do [RTB Fabric](https://docs.aws.amazon.com/rtb-fabric/latest/userguide/what-is-rtb-fabric.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [AWS CSPM do Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | | | |
| [Logs de consulta ao DNS público do Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/logging-monitoring.html) | Logs fornecidos | Compatível | | | |
| [ Logs de consulta do Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs-choosing-target-resource.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | | |
| [Eventos de SageMaker IA da Amazon](https://docs.aws.amazon.com/sagemaker/latest/dg/logging-cloudwatch.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | | | |
| [Eventos para trabalhadores da Amazon SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/workteam-private-tracking.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | | | |
| [AWS Registros de VPN de site para site](https://docs.aws.amazon.com/vpn/latest/s2svpn/monitoring-logs.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | |
| [Registros do Amazon Simple Email Service](https://docs.aws.amazon.com/ses/latest/dg/eb-logging.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [Logs do Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/sms_stats_cloudwatch.html#sns-viewing-cloudwatch-logs) | Logs personalizados | Compatível | | | |
| [Logs da política de proteção de dados do Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-operations.html) | Logs personalizados | Compatível | | | |
| [ Arquivos do feed de dados da instância spot do EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/spot-data-feeds.html) | Logs fornecidos | | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | | |
| [AWS Step Functions Registros de fluxo de trabalho expresso e fluxo de trabalho padrão](https://docs.aws.amazon.com/step-functions/latest/dg/cw-logs.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | | | |
| [ Logs de auditoria e logs de integridade do Storage Gateway](https://docs.aws.amazon.com/storagegateway/latest/userguide/monitoring-file-gateway.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | | | |
| [AWS Transfer Family logs](https://docs.aws.amazon.com/transfer/latest/userguide/structured-logging.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | |
| [Acesso Verificado pela AWS logs](https://docs.aws.amazon.com/verified-access/latest/ug/access-logs.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | |
| [ Logs de fluxo da Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-s3.html) | Logs fornecidos | Compatível | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | |
| [Registros de acesso do Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/monitoring-access-logs.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | |
| [Amazon VPC Route Server](https://docs.aws.amazon.com/vpc/latest/userguide/dynamic-routing-route-server.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
| [Logs do AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/logging-destinations.html) | Logs fornecidos | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | [[Permissões v1] compatíveis](AWS-vended-logs-permissions.md) | Compatível | |
| [Amazon WorkMail registros de auditoria](https://docs.aws.amazon.com/workmail/latest/adminguide/monitoring-audit-logging.html) | Logs fornecidos | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | [[Permissões v2] compatíveis](AWS-vended-logs-permissions-V2.md) | |
# Registro em log que requer permissões [v1] adicionais
Alguns AWS serviços usam uma infraestrutura comum para enviar seus CloudWatch registros para Logs, Amazon S3 ou Firehose. Para permitir que os AWS serviços listados na tabela anterior enviem seus registros para esses destinos, você deve estar logado como um usuário com determinadas permissões.
Além disso, é necessário conceder permissões AWS para permitir que os registros sejam enviados. AWS pode criar automaticamente essas permissões quando os registros são configurados, ou você mesmo pode criá-las antes de configurar o registro. Para entrega entre contas, você mesmo deve criar manualmente as políticas de permissão.
Se você optar por configurar AWS automaticamente as permissões e as políticas de recursos necessárias quando você ou alguém em sua organização configura o envio de registros pela primeira vez, o usuário que está configurando o envio de registros deverá ter determinadas permissões, conforme explicado posteriormente nesta seção. Se preferir, você pode criar as políticas de recursos, e os usuários que configurarem o envio de logs não precisarão de tantas permissões.
Os tópicos a seguir fornecem mais detalhes sobre cada um desses destinos.
**Topics**
+ [Registros enviados para CloudWatch Logs](AWS-logs-infrastructure-CWL.md)
+ [Logs enviados ao Amazon S3](AWS-logs-infrastructure-S3.md)
+ [Logs enviados ao Firehose](AWS-logs-infrastructure-Firehose.md)
# Registros enviados para CloudWatch Logs
**Importante**
Quando você configura os tipos de registro na lista a seguir para serem enviados para o CloudWatch Logs, AWS cria ou altera as políticas de recursos associadas ao grupo de registros que recebe os registros, se necessário. Continue lendo esta seção para ver os detalhes.
Esta seção se aplica quando os tipos de registros listados na tabela da seção anterior são enviados para CloudWatch Logs:
**Permissões de usuário**
Para poder configurar o envio de qualquer um desses tipos de CloudWatch registros para o Logs pela primeira vez, você precisa estar conectado a uma conta com as seguintes permissões.
+ `logs:CreateLogDelivery`
+ `logs:PutResourcePolicy`
+ `logs:DescribeResourcePolicies`
+ `logs:DescribeLogGroups`
**nota**
Quando você especificar a permissão `logs:DescribeLogGroups`, `logs:DescribeResourcePolicies` ou `logs:PutResourcePolicy`, certifique-se de definir o ARN da linha `Resource` para que use um caractere curinga `*`, em vez de especificar apenas um único nome de grupo de logs. Por exemplo, `"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*"`.
Se algum desses tipos de registros já estiver sendo enviado para um grupo de CloudWatch registros no Logs, para configurar o envio de outro desses tipos de registros para esse mesmo grupo de registros, você só precisará da `logs:CreateLogDelivery` permissão.
**Política de recursos do grupo de logs**
O grupo de logs para o qual os logs estão sendo enviados deve ter uma política de recursos que contenha determinadas permissões. Se o grupo de registros atualmente não tiver uma política de recursos e o usuário que configura o registro tiver as `logs:DescribeLogGroups` permissões`logs:PutResourcePolicy`,`logs:DescribeResourcePolicies`, e para o grupo de registros, AWS criará automaticamente a política a seguir quando você começar a enviar os CloudWatch registros para o Logs. Para assinaturas recém-criadas, as políticas de recursos são configuradas no nível do grupo de registros e têm um tamanho máximo de 51.200 bytes. Se uma política de recursos existente em nível de conta já conceder permissões por meio de curingas, uma política separada em nível de grupo de registros não seria criada. Para verificar a política de recursos em nível de grupo de registros para um grupo de registros específico, use o `describe-resource-policies` comando com o `--resource-arn` parâmetro definido como o ARN do grupo de registros e o parâmetro definido como. `--policy-scope` `RESOURCE`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
O limite da política de recursos do grupo de registros é de 51.200 bytes. Quando esse limite é atingido, a AWS não pode adicionar novas permissões. Isso exige que os clientes modifiquem manualmente a política para conceder ao principal `delivery.logs.amazonaws.com` serviço permissões sobre as `logs:PutLogEvents` ações `logs:CreateLogStream` e. Os clientes devem usar um prefixo de nome de grupo de registros com curingas, como, `/aws/vendedlogs/*` e usar esse nome de grupo de registros para a criação futura do Delivery.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
# Logs enviados ao Amazon S3
Quando você define os registros a serem enviados para o Amazon S3, AWS cria ou altera as políticas de recursos associadas ao bucket do S3 que está recebendo os registros, se necessário.
Os logs publicados diretamente no Amazon S3 são publicados em um bucket especificado por você. Um ou mais arquivos de log são criados a cada cinco minutos no bucket especificado.
Quando você entrega logs a um bucket do Amazon S3 pela primeira vez, o serviço que entrega logs registra o proprietário do bucket para garantir que os logs sejam entregues somente a um bucket pertencente a essa conta. Consequentemente, para alterar o proprietário do bucket do Amazon S3, é necessário recriar ou atualizar a assinatura de log no serviço de origem.
**nota**
CloudFront usa um modelo de permissões diferente dos outros serviços que enviam registros vendidos para o S3. Para obter mais informações, consulte [Permissões necessárias para configurar o registro padrão e acessar seus arquivos de log](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html#AccessLogsBucketAndFileOwnership).
Além disso, se você usar o mesmo bucket do S3 para registros de CloudFront acesso e outra fonte de log, habilitar a ACL no bucket CloudFront também concederá permissão a todas as outras fontes de log que usam esse bucket.
**Importante**
Se você for enviar logs para um bucket do Amazon S3 e a política do bucket contiver um elemento `NotAction` ou `NotPrincipal`, adicionar automaticamente permissões de entrega de logs ao bucket e criar uma assinatura de log não funcionará. Para criar uma assinatura de logs com sucesso, você precisa adicionar manualmente as permissões de entrega de logs à política do bucket e depois criar a assinatura de logs. Para obter mais informações, consulte as instruções desta seção.
Se o bucket tiver criptografia do lado do servidor usando uma AWS KMS chave gerenciada pelo cliente, você também deverá adicionar a política de chaves para sua chave gerenciada pelo cliente. Para obter mais informações, consulte [Criptografia no lado do servidor de bucket do Amazon S3](#AWS-logs-SSE-KMS-S3).
Se o bucket de destino tiver SSE-KMS e uma chave de bucket ativados, a política de chave KMS gerenciada pelo cliente anexada não funcionará mais conforme o esperado para todas as solicitações. Para obter mais informações, consulte [ Reduzir o custo da SSE-KMS usando chaves de bucket do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html).
Se você estiver usando registros vendidos e criptografia S3 com uma AWS KMS chave gerenciada pelo cliente, deverá usar um AWS KMS ARN de chave totalmente qualificado em vez de um ID de chave ao configurar o bucket. Para obter mais informações, consulte [ put-bucket-encryption](https://docs.aws.amazon.com/cli/latest/reference/s3api/put-bucket-encryption.html).
**Permissões de usuário**
Para poder configurar o envio de qualquer um desses tipos de logs ao Amazon S3 pela primeira vez, é necessário conectar-se a uma conta com as permissões a seguir.
+ `logs:CreateLogDelivery`
+ `S3:GetBucketPolicy`
+ `S3:PutBucketPolicy`
Se algum desses tipos de logs já estiver sendo enviado a um bucket do Amazon S3, para configurar o envio de outro desses tipos de logs para esse mesmo bucket, apenas a permissão `logs:CreateLogDelivery` será necessária.
**Política de recursos do bucket do S3**
O bucket do S3 para o qual os logs estão sendo enviados deve ter uma política de recursos que contenha determinadas permissões. Se o bucket atualmente não tem uma política de recursos e o usuário que está configurando o log tem as permissões `S3:GetBucketPolicy` e `S3:PutBucketPolicy` para o bucket, a AWS cria automaticamente a seguinte política quando você começa a enviar os logs ao Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "AWSLogDeliveryWrite20150319",
"Statement": [
{
"Sid": "AWSLogDeliveryAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
},
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/account-ID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
Na política anterior, para `aws:SourceAccount`, especifique a lista de IDS de conta para os quais os logs estão sendo entregues a esse bucket. Para`aws:SourceArn`, especifique a lista ARNs do recurso que gera os registros, no formulário`arn:aws:logs:source-region:source-account-id:*`.
Se o bucket tiver uma política de recursos, mas ela não contiver a instrução exibida na política anterior, e o usuário configurando o log tiver as permissões `S3:GetBucketPolicy` e `S3:PutBucketPolicy` para o bucket, essa instrução será anexada à política de recursos do bucket.
**nota**
Em alguns casos, você pode ver `AccessDenied` erros AWS CloudTrail se a `s3:ListBucket` permissão não tiver sido concedida`delivery.logs.amazonaws.com`. Para evitar esses erros em seus CloudTrail registros, você deve conceder a `s3:ListBucket` permissão `delivery.logs.amazonaws.com` e incluir `Condition` os parâmetros mostrados com o conjunto de `s3:GetBucketAcl` permissões na política de bucket anterior. Para simplificar isso, em vez de criar uma nova `Statement`, você pode atualizar `AWSLogDeliveryAclCheck` diretamente para `“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]`
## Criptografia no lado do servidor de bucket do Amazon S3
Você pode proteger os dados em seu bucket do Amazon S3 habilitando a criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) ou a criptografia do lado do servidor com uma chave armazenada em (SSE-KMS). AWS KMS AWS Key Management Service Para obter mais informações, consulte [Proteger dados usando a criptografia no lado do servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html).
Se você escolher SSE-S3, nenhuma configuração adicional será necessária. O Amazon S3 lida com a chave de criptografia.
**Atenção**
Se você escolher o SSE-KMS, deverá usar uma chave gerenciada pelo cliente, pois o uso de uma chave AWS gerenciada não é suportado nesse cenário. Se você configurar a criptografia usando uma chave AWS gerenciada, os registros serão entregues em um formato ilegível.
Ao usar uma AWS KMS chave gerenciada pelo cliente, você pode especificar o Amazon Resource Name (ARN) da chave gerenciada pelo cliente ao ativar a criptografia do bucket. Você precisa adicionar o seguinte à política de chaves da chave gerenciada pelo cliente (não à política de bucket para o bucket do S3), para que a conta de entrega de log possa gravar no bucket do S3.
Se você escolher o SSE-KMS, deverá usar uma chave gerenciada pelo cliente, porque o uso de uma chave gerenciada pela AWS não tem suporte neste cenário. Ao usar uma AWS KMS chave gerenciada pelo cliente, você pode especificar o Amazon Resource Name (ARN) da chave gerenciada pelo cliente ao ativar a criptografia do bucket. Você precisa adicionar o seguinte à política de chaves da chave gerenciada pelo cliente (não à política de bucket para o bucket do S3), para que a conta de entrega de log possa gravar no bucket do S3.
```
{
"Sid": "Allow Logs Delivery to use the key",
"Effect": "Allow",
"Principal": {
"Service": [ "delivery.logs.amazonaws.com" ]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["0123456789"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-1:0123456789:*"]
}
}
}
```
Para `aws:SourceAccount`, especifique a lista de IDS de conta para os quais os logs estão sendo entregues a esse bucket. Para`aws:SourceArn`, especifique a lista ARNs do recurso que gera os registros, no formulário`arn:aws:logs:source-region:source-account-id:*`.
# Logs enviados ao Firehose
Esta seção se aplica quando os tipos de logs listados na tabela da seção anterior são enviados ao Firehose:
**Permissões de usuário**
Para poder configurar o envio de qualquer um desses tipos de logs ao Firehose pela primeira vez, você deve fazer login em uma conta com as permissões a seguir.
+ `logs:CreateLogDelivery`
+ `firehose:TagDeliveryStream`
+ `iam:CreateServiceLinkedRole`
Se algum desses tipos de log já estiver sendo enviado ao Firehose, para configurar o envio de outro tipo de log para o Firehose, você só precisará ter as permissões `logs:CreateLogDelivery` e `firehose:TagDeliveryStream`.
**Funções do IAM usadas para permissões**
Como o Firehose não usa políticas de recursos, AWS usa funções do IAM ao configurar esses registros para serem enviados ao Firehose. AWS cria uma função vinculada ao serviço chamada. **AWSServiceRoleForLogDelivery** Essa função vinculada ao serviço inclui as permissões a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:ListTagsForDeliveryStream"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/LogDeliveryEnabled": "true"
}
},
"Effect": "Allow"
}
]
}
```
------
Essa função vinculada ao serviço concede permissão para todos os streams de entrega do Firehose que têm a tag definida como. `LogDeliveryEnabled` `true` AWS fornece essa tag ao stream de entrega de destino quando você configura o registro.
Essa função vinculada ao serviço também tem uma política de confiança que permite que a entidade de serviço `delivery.logs.amazonaws.com` assuma a função vinculada ao serviço necessária. Essa política de confiança é a seguinte:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Registro em log que requer permissões [v2] adicionais
Alguns AWS serviços usam um novo método para enviar seus registros. Esse é um método flexível que permite configurar a entrega de registros desses serviços para um ou mais dos seguintes destinos: CloudWatch Logs, Amazon S3 ou Firehose and X-Ray para entrega de rastreamento.
A entrega de um log de trabalho consiste em três elementos:
+ Uma `DeliverySource`, que é um objeto lógico que representa os recursos que, de fato, enviam os logs.
+ Um `DeliveryDestination`, que é um objeto lógico que representa o destino da entrega de fato .
+ Uma `Delivery`, que conecta a origem da entrega ao destino da entrega
Para configurar a entrega de registros entre um AWS serviço compatível e um destino, você deve fazer o seguinte:
+ Crie uma fonte de entrega com [PutDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html).
+ Crie um destino de entrega com [PutDeliveryDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestination.html).
+ Se você estiver entregando registros entre contas, deverá usá-los [ PutDeliveryDestinationPolicy](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestinationPolicy.html)na conta de destino para atribuir uma IAM política ao destino. Essa política autoriza a criação de uma entrega da origem da entrega na conta A para o destino da entrega na conta B. Para entrega entre contas, você mesmo deve criar manualmente as políticas de permissão.
+ Crie uma entrega combinando exatamente uma fonte de entrega e um destino de entrega, usando [ CreateDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateDelivery.html).
As seções a seguir fornecem os detalhes das permissões que você precisa ter ao fazer login para configurar a entrega de logs para cada tipo de destino, usando o processo v2. Essas permissões podem ser concedidas a um perfil do IAM com o qual você está conectado.
**Importante**
É sua responsabilidade remover os recursos de entrega de logs após excluir o recurso que gera os logs. Para fazer isso, siga estas etapas.
Exclua o `Delivery` usando a [DeleteDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDelivery.html)operação.
Exclua o `DeliverySource` usando a [DeleteDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DeleteDeliverySource.html)operação.
Se o `DeliveryDestination` associado ao `DeliverySource` que você acabou de excluir for usado somente para esse específico`DeliverySource`, você poderá removê-lo usando a [DeleteDeliveryDestinations](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_DescribeDeliveryDestinations.html)operação.
**Contents**
+ [Registros enviados para CloudWatch Logs](AWS-logs-infrastructure-V2-CloudWatchLogs.md)
+ [Logs enviados ao Amazon S3](AWS-logs-infrastructure-V2-S3.md)
+ [Amazon S3](AWS-logs-infrastructure-V2-S3.md#AWS-logs-SSE-KMS-S3-V2)
+ [Logs enviados ao Firehose](AWS-logs-infrastructure-V2-Firehose.md)
+ [Rastreamentos enviados ao X-Ray](AWS-logs-infrastructure-V2-XRayTraces.md)
# Registros enviados para CloudWatch Logs
**Permissões de usuário**
Para ativar o envio de CloudWatch registros para o Logs, você precisa estar conectado com as seguintes permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:444455556666:delivery-source:*",
"arn:aws:logs:us-east-1:777788889999:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyCWL",
"Effect": "Allow",
"Action": [
"logs:PutResourcePolicy",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:*"
]
}
]
}
```
------
**Política de recursos do grupo de logs**
O grupo de logs para o qual os logs estão sendo enviados deve ter uma política de recursos que contenha determinadas permissões. Se o grupo de registros atualmente não tiver uma política de recursos e o usuário que configura o registro tiver as `logs:DescribeLogGroups` permissões`logs:PutResourcePolicy`,`logs:DescribeResourcePolicies`, e para o grupo de registros, AWS criará automaticamente a política a seguir quando você começar a enviar os CloudWatch registros para o Logs. Para assinaturas recém-criadas, as políticas de recursos são configuradas no nível do grupo de registros e têm um tamanho máximo de 51.200 bytes. Se uma política de recursos existente em nível de conta já conceder permissões por meio de curingas, uma política separada em nível de grupo de registros não seria criada. Para verificar a política de recursos em nível de grupo de registros para um grupo de registros específico, use o `describe-resource-policies` comando com o `--resource-arn` parâmetro definido como o ARN do grupo de registros e o parâmetro definido como. `--policy-scope` `RESOURCE`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
O limite da política de recursos do grupo de registros é de 51.200 bytes. Quando esse limite é atingido, a AWS não pode adicionar novas permissões. Isso exige que os clientes modifiquem manualmente a política para conceder ao principal `delivery.logs.amazonaws.com` serviço permissões sobre as `logs:PutLogEvents` ações `logs:CreateLogStream` e. Os clientes devem usar um prefixo de nome de grupo de registros com curingas, como, `/aws/vendedlogs/*` e usar esse nome de grupo de registros para a criação futura do Delivery.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:*"
]
}
}
}
]
}
```
------
# Logs enviados ao Amazon S3
**Permissões de usuário**
Para permitir o envio de logs ao Amazon S3, é necessário fazer login com as permissões a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:111122223333:delivery-source:*",
"arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyS3",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::bucket-name"
}
]
}
```
------
O bucket do S3 para o qual os logs estão sendo enviados deve ter uma política de recursos que contenha determinadas permissões. Se o bucket atualmente não tem uma política de recursos e o usuário que está configurando o log tem as permissões `S3:GetBucketPolicy` e `S3:PutBucketPolicy` para o bucket, a AWS cria automaticamente a seguinte política quando você começa a enviar os logs ao Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "AWSLogDeliveryWrite20150319",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/account-ID/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"0123456789"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:111122223333:delivery-source:*"
]
}
}
}
]
}
```
------
Na política anterior, para `aws:SourceAccount`, especifique a lista de IDS de conta para os quais os logs estão sendo entregues a esse bucket. Para`aws:SourceArn`, especifique a lista ARNs do recurso que gera os registros, no formulário`arn:aws:logs:source-region:source-account-id:*`.
Se o bucket tiver uma política de recursos, mas ela não contiver a instrução exibida na política anterior, e o usuário configurando o log tiver as permissões `S3:GetBucketPolicy` e `S3:PutBucketPolicy` para o bucket, essa instrução será anexada à política de recursos do bucket.
**nota**
Em alguns casos, você pode ver `AccessDenied` erros AWS CloudTrail se a `s3:ListBucket` permissão não tiver sido concedida`delivery.logs.amazonaws.com`. Para evitar esses erros em seus CloudTrail registros, você deve conceder a `s3:ListBucket` permissão `delivery.logs.amazonaws.com` e incluir `Condition` os parâmetros mostrados com o conjunto de `s3:GetBucketAcl` permissões na política de bucket anterior. Para simplificar isso, em vez de criar uma nova `Statement`, você pode atualizar `AWSLogDeliveryAclCheck` diretamente para `“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]`
## Criptografia no lado do servidor de bucket do Amazon S3
Você pode proteger os dados em seu bucket do Amazon S3 habilitando a criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) ou a criptografia do lado do servidor com uma chave armazenada em (SSE-KMS). AWS KMS AWS Key Management Service Para obter mais informações, consulte [Proteger dados usando a criptografia no lado do servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html).
Se você escolher SSE-S3, nenhuma configuração adicional será necessária. O Amazon S3 lida com a chave de criptografia.
**Atenção**
Se você escolher o SSE-KMS, deverá usar uma chave gerenciada pelo cliente, pois o uso de uma chave AWS gerenciada não é suportado nesse cenário. Se você configurar a criptografia usando uma chave AWS gerenciada, os registros serão entregues em um formato ilegível.
Ao usar uma AWS KMS chave gerenciada pelo cliente, você pode especificar o Amazon Resource Name (ARN) da chave gerenciada pelo cliente ao ativar a criptografia do bucket. Você precisa adicionar o seguinte à política de chaves da chave gerenciada pelo cliente (não à política de bucket para o bucket do S3), para que a conta de entrega de log possa gravar no bucket do S3.
Se você escolher o SSE-KMS, deverá usar uma chave gerenciada pelo cliente, porque o uso de uma chave gerenciada pela AWS não tem suporte neste cenário. Ao usar uma AWS KMS chave gerenciada pelo cliente, você pode especificar o Amazon Resource Name (ARN) da chave gerenciada pelo cliente ao ativar a criptografia do bucket. Você precisa adicionar o seguinte à política de chaves da chave gerenciada pelo cliente (não à política de bucket para o bucket do S3), para que a conta de entrega de log possa gravar no bucket do S3.
```
{
"Sid": "Allow Logs Delivery to use the key",
"Effect": "Allow",
"Principal": {
"Service": [ "delivery.logs.amazonaws.com" ]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["0123456789"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-1:0123456789:delivery-source:*"]
}
}
}
```
Para `aws:SourceAccount`, especifique a lista de IDS de conta para os quais os logs estão sendo entregues a esse bucket. Para`aws:SourceArn`, especifique a lista ARNs do recurso que gera os registros, no formulário`arn:aws:logs:source-region:source-account-id:*`.
# Logs enviados ao Firehose
**Permissões de usuário**
Para permitir o envio de logs ao Firehose, você primeiro deve fazer login com as permissões a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:111122223333:delivery-source:*",
"arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyFH",
"Effect": "Allow",
"Action": [
"firehose:TagDeliveryStream"
],
"Resource": [
"arn:aws:firehose:us-east-1:111122223333:deliverystream/*"
]
},
{
"Sid": "CreateServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery"
}
]
}
```
------
**Perfis do IAM usados para permissões de recursos**
Como o Firehose não usa políticas de recursos, AWS usa funções do IAM ao configurar esses registros para serem enviados ao Firehose. AWS cria uma função vinculada ao serviço chamada. **AWSServiceRoleForLogDelivery** Essa função vinculada ao serviço inclui as permissões a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch",
"firehose:ListTagsForDeliveryStream"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/LogDeliveryEnabled": "true"
}
},
"Effect": "Allow"
}
]
}
```
------
Essa função vinculada ao serviço concede permissão para todos os streams de entrega do Firehose que têm a tag definida como. `LogDeliveryEnabled` `true` AWS fornece essa tag ao stream de entrega de destino quando você configura o registro.
Essa função vinculada ao serviço também tem uma política de confiança que permite que a entidade de serviço `delivery.logs.amazonaws.com` assuma a função vinculada ao serviço necessária. Essa política de confiança é a seguinte:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Rastreamentos enviados ao X-Ray
**Permissões de usuário**
Para ativar o envio de rastreamentos para AWS X-Ray, você deve estar conectado com as seguintes permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:delivery:*",
"arn:aws:logs:us-east-1:111122223333:delivery-source:*",
"arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyXRay",
"Effect": "Allow",
"Action": [
"xray:PutResourcePolicy",
"xray:ListResourcePolicies",
"xray:GetTraceSegmentDestination"
],
"Resource": "*"
}
]
}
```
------
**Política de recursos do X-Ray**
A conta de destino para a qual os rastreamentos estão sendo enviados deve ter uma política de recursos que contenha determinadas permissões. Quando o usuário que configura o rastreamento tem `xray:PutResourcePolicy` e `xray:ListResourcePolicies` as permissões na conta, cria AWS automaticamente a política de recursos quando você começa a enviar rastreamentos para o X-Ray. A política criada depende do serviço de origem:
**Amazon Bedrock AgentCore recursos**
AWS cria uma política de recursos por tipo de recurso. A política usa padrões curinga com escopo limitado ao limite da conta, abrangendo todos os recursos do mesmo tipo de Amazon Bedrock AgentCore recurso na conta. Por exemplo, se um recurso de *Amazon Bedrock AgentCorememória* estiver habilitado para entrega de rastreamento, a política cobrirá todos os recursos de memória dessa conta, incluindo quaisquer recursos de memória criados no futuro.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "xray:PutTraceSegments",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ForAllValues:ArnLike": {
"logs:LogGeneratingResourceArns": "arn:aws:bedrock-agentcore:us-east-1:123456789012:memory/*"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:delivery-source:*"
}
}
}
]
}
```
**Outros AWS serviços**
Para outros serviços que oferecem suporte à entrega de rastreamento, AWS cria uma política de recursos com escopo específico para o recurso de origem.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "xray:PutTraceSegments",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ForAllValues:ArnLike": {
"logs:LogGeneratingResourceArns": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/KnowledgeBaseId"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:delivery-source:xray-test"
}
}
}
]
}
```
**Ativar pesquisa de transações**
Para ativar o envio de rastreamentos para o X-Ray, é necessário ativar a [pesquisa de transações](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Enable-Lambda-TransactionSearch.html).
# Permissões específicas do serviço
Além das permissões específicas do destino listadas nas seções anteriores, alguns serviços exigem autorização explícita para os clientes enviarem logs de seus recursos, como uma camada adicional de segurança. Ela autoriza a ação `AllowVendedLogDeliveryForResource` para os recursos que vendem logs nesse serviço. Para esses serviços, use a política a seguir *service* e *resource-type* substitua-a pelos valores apropriados. Para obter os valores específicos do serviço para esses campos, consulte a página de documentação desses serviços para logs vendidos. No exemplo a seguir, a política foi atualizada para permitir logs fornecidos pelo Amazon SES.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ServiceLevelAccessForLogDelivery",
"Effect": "Allow",
"Action": [
"ses:AllowVendedLogDeliveryForResource"
],
"Resource": "arn:aws:ses:us-east-1:123456789012:resource-type/*"
}
]
}
```
------
# Permissões específicas do console
Além das permissões listadas nas seções anteriores, se você estiver configurando a entrega de registros usando o console em vez do APIs, você também precisará das seguintes permissões adicionais:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLogDeliveryActionsConsoleCWL",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:CreateLogGroup"
],
"Resource": [
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
},
{
"Sid": "AllowLogDeliveryActionsConsoleS3",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "AllowLogDeliveryActionsConsoleFH",
"Effect": "Allow",
"Action": [
"firehose:ListDeliveryStreams",
"firehose:DescribeDeliveryStream"
],
"Resource": [
"*"
]
}
]
}
```
------
# Exemplo de entrega entre contas
Neste exemplo, duas contas estão envolvidas. A conta com o recurso gerador de registros é Conta A, ID:*123456789012*, e a conta com o recurso que consome registros é Conta B, ID:. *111122223333*
A conta A deseja fornecer registros da base de Amazon Bedrock conhecimento em sua conta com o ARN arn:aws:bedrock: ::knowledge-base/. *us-east-1* *123456789012* *kb-12345678*
Neste exemplo, a conta A precisa das seguintes permissões:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowVendedLogDeliveryForKnowledgeBase",
"Effect": "Allow",
"Action": [
"bedrock:AllowVendedLogDeliveryForResource"
],
"Resource": "arn:aws:bedrock:us-east-1:123456789012:knowledge-base/XXXXXXXXXX"
},
{
"Sid": "CreateLogDeliveryPermissions",
"Effect": "Allow",
"Action": [
"logs:PutDeliverySource",
"logs:CreateDelivery"
],
"Resource": [
"arn:aws:logs:us-east-1:123456789012:delivery-source:*",
"arn:aws:logs:us-east-1:123456789012:delivery:*",
"arn:aws:logs:us-east-1:444455556666:delivery-destination:*"
]
}
]
}
```
------
## Criar origem de entrega
Para começar, a conta A cria uma origem de entrega com sua base de conhecimentos do Bedrock:
```
aws logs put-delivery-source --name my-delivery-source --log-type APPLICATION_LOGS --resource-arn arn:aws:bedrock:region:AAAAAAAAAAAA:knowledge-base/XXXXXXXXXX
```
Em seguida, a conta B deve criar o destino da entrega usando um dos fluxos abaixo:
+ [Configurar entrega para um bucket do Amazon S3](#crossaccount-example-delivery-S3)
+ [Configurar entrega em um fluxo do Firehose](#crossaccount-example-delivery-Firehose)
## Configurar entrega para um bucket do Amazon S3
A conta B deseja receber os logs no bucket do S3 com o ARN arn:aws:s3: ::amzn-s3-demo-bucket. Neste exemplo, a conta B precisará das seguintes permissões:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PutLogDestinationPermissions",
"Effect": "Allow",
"Action": [
"logs:PutDeliveryDestination",
"logs:PutDeliveryDestinationPolicy"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
}
]
}
```
------
O bucket precisará das seguintes permissões em sua política de bucket:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogsDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/123456789012/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"123456789012"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:delivery-source:my-delivery-source"
]
}
}
}
]
}
```
------
Se o bucket for criptografado com SSE-KMS, certifique-se de que a política de AWS KMS chaves tenha as permissões apropriadas. Por exemplo, se a chave do KMS for `arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`, use o seguinte:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLogsGenerateDataKey",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"123456789012"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:delivery-source:my-delivery-source"
]
}
}
}
]
}
```
------
A conta B pode então criar um destino de entrega tendo o bucket do S3 como recurso de destino:
```
aws logs put-delivery-destination --name my-s3-delivery-destination --delivery-destination-configuration "destinationResourceArn=arn:aws:s3:::amzn-s3-demo-bucket"
```
Em seguida, a conta B cria uma política de destino de entrega em seu destino de entrega recém-criado, o que dará à conta A permissão para criar uma entrega de logs. A política que será adicionada ao destino de entregas recém-criado é a seguinte:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateDelivery",
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": [
"logs:CreateDelivery"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:delivery-destination:amzn-s3-demo-bucket"
}
]
}
```
------
Essa política será salva no computador da conta B como `destination-policy-s3.json`. Para anexar esse recurso, a conta B executará o seguinte comando:
```
aws logs put-delivery-destination-policy --delivery-destination-name my-s3-delivery-destination --delivery-destination-policy file://destination-policy-s3.json
```
Por fim, a conta A cria a entrega, que vincula a origem da entrega na conta A ao destino da entrega na conta B.
```
aws logs create-delivery --delivery-source-name my-delivery-source --delivery-destination-arn arn:aws:logs:region:BBBBBBBBBBBB:delivery-destination:my-s3-delivery-destination
```
## Configurar entrega em um fluxo do Firehose
Neste exemplo, a conta B quer receber logs em seu fluxo do Firehose. O stream do Firehose tem o seguinte ARN e está configurado para usar o tipo de stream de entrega: DirectPut
`arn:aws:firehose:us-east-1:111122223333:deliverystream/log-delivery-stream`
Neste exemplo, a conta B precisa das seguintes permissões:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFirehoseCreateSLR",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery"
},
{
"Sid": "AllowFirehoseTagging",
"Effect": "Allow",
"Action": [
"firehose:TagDeliveryStream"
],
"Resource": "arn:aws:firehose:us-east-1:111122223333:deliverystream/X"
},
{
"Sid": "AllowFirehoseDeliveryDestination",
"Effect": "Allow",
"Action": [
"logs:PutDeliveryDestination",
"logs:PutDeliveryDestinationPolicy"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:delivery-destination:*"
}
]
}
```
------
O fluxo do Firehose deve ter a tag `LogDeliveryEnabled` definida como `true`.
A conta B pode então criar um destino de entrega tendo o fluxo do Firehose como recurso de destino:
```
aws logs put-delivery-destination --name my-fh-delivery-destination --delivery-destination-configuration "destinationResourceArn=arn:aws:firehose:region:BBBBBBBBBBBB:deliverystream/X"
```
Em seguida, a conta B cria uma política de destino de entrega em seu destino de entrega recém-criado, o que dará à conta A permissão para criar uma entrega de logs. A política que será adicionada ao destino de entrega recém-criado é a seguinte:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateDelivery",
"Effect": "Allow",
"Principal": {
"AWS": "123456789012"
},
"Action": [
"logs:CreateDelivery"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:delivery-destination:amzn-s3-demo-bucket"
}
]
}
```
------
Essa política será salva no computador da conta B como `destination-policy-fh.json`. Para anexar esse recurso, a conta B executa o seguinte comando:
```
aws logs put-delivery-destination-policy --delivery-destination-name my-fh-delivery-destination --delivery-destination-policy file://destination-policy-fh.json
```
Por fim, a conta A cria a entrega, que vincula a origem da entrega na conta A ao destino da entrega na conta B.
```
aws logs create-delivery --delivery-source-name my-delivery-source --delivery-destination-arn arn:aws:logs:region:BBBBBBBBBBBB:delivery-destination:my-fh-delivery-destination
```
# Prevenção contra o ataque do “substituto confuso” em todos os serviços
“Confused deputy” é um problema de segurança no qual uma entidade sem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar em um problema confuso de delegado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.
Recomendamos usar as chaves de contexto de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn),, e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths)global nas políticas de recursos para limitar as permissões que o CloudWatch Logs concede a outro serviço ao recurso. Use `aws:SourceArn` se quiser associar apenas um recurso ao acesso entre serviços. Use `aws:SourceAccount` se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços. Use `aws:SourceOrgID` se quiser permitir que qualquer recurso de qualquer conta de uma organização seja associado ao uso entre serviços. Use `aws:SourceOrgPaths` para associar qualquer recurso de contas em um AWS Organizations caminho ao uso entre serviços. Para obter mais informações sobre como usar e entender os caminhos, consulte [Compreender o caminho da AWS Organizations entidade](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed-view-data-orgs.html#access_policies_last-accessed-viewing-orgs-entity-path).
A maneira mais eficaz de se proteger contra o problema do substituto confuso é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou especificar vários recursos, use a chave de condição de contexto global `aws:SourceArn` com caracteres curinga (`*`) para as partes desconhecidas do ARN. Por exemplo, .`arn:aws:servicename:*:123456789012:*`
Se o valor do `aws:SourceArn` não contiver o ID da conta, como um ARN de bucket do Amazon S3, você deverá usar ambos, a `aws:SourceAccount` e o `aws:SourceArn` para limitar as permissões.
Para se proteger do problema de "confused deputy" em grande escala, use a chave de contexto de condição global `aws:SourceOrgID` ou `aws:SourceOrgPaths` com o ID ou o caminho da organização do recurso nas políticas baseadas em recursos. As políticas que incluem a chave `aws:SourceOrgID` ou `aws:SourceOrgPaths` incluem automaticamente as contas corretas e você não tem que atualizar manualmente as políticas quando adiciona, remove ou move contas na organização.
As políticas documentadas para conceder acesso aos CloudWatch Logs para gravar dados no Kinesis Data Streams e [Etapa 1: criar um destino](CreateDestination.md) no Firehose [Etapa 2: Criar um destino](CreateFirehoseStreamDestination.md) e mostram como você pode usar a chave de contexto de condição global para ajudar `aws:SourceArn` a evitar o confuso problema secundário.