View a markdown version of this page

Registros enviados para CloudWatch Logs - CloudWatch Registros da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registros enviados para CloudWatch Logs

Importante

Quando você configura os tipos de registro na lista a seguir para serem enviados para o CloudWatch Logs, AWS cria ou altera as políticas de recursos associadas ao grupo de registros que recebe os registros, se necessário. Continue lendo esta seção para ver os detalhes.

Esta seção se aplica quando os tipos de registros listados na tabela da seção anterior são enviados para CloudWatch Logs:

Permissões de usuário

Para poder configurar o envio de qualquer um desses tipos de CloudWatch registros para o Logs pela primeira vez, você precisa estar conectado a uma conta com as seguintes permissões.

  • logs:CreateLogDelivery

  • logs:PutResourcePolicy

  • logs:DescribeResourcePolicies

  • logs:DescribeLogGroups

    nota

    Quando você especificar a permissão logs:DescribeLogGroups, logs:DescribeResourcePolicies ou logs:PutResourcePolicy, certifique-se de definir o ARN da linha Resource para que use um caractere curinga *, em vez de especificar apenas um único nome de grupo de logs. Por exemplo, "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:*".

Se algum desses tipos de registros já estiver sendo enviado para um grupo de CloudWatch registros no Logs, para configurar o envio de outro desses tipos de registros para esse mesmo grupo de registros, você só precisará da logs:CreateLogDelivery permissão.

Política de recursos do grupo de logs

O grupo de logs para o qual os logs estão sendo enviados deve ter uma política de recursos que contenha determinadas permissões. Se o grupo de registros atualmente não tiver uma política de recursos e o usuário que configura o registro tiver as logs:DescribeLogGroups permissõeslogs:PutResourcePolicy,logs:DescribeResourcePolicies, e para o grupo de registros, AWS criará automaticamente a política a seguir quando você começar a enviar os CloudWatch registros para o Logs. Para assinaturas recém-criadas, as políticas de recursos são configuradas no nível do grupo de registros e têm um tamanho máximo de 51.200 bytes. Se uma política de recursos existente em nível de conta já conceder permissões por meio de curingas, uma política separada em nível de grupo de registros não seria criada. Para verificar a política de recursos em nível de grupo de registros para um grupo de registros específico, use o describe-resource-policies comando com o --resource-arn parâmetro definido como o ARN do grupo de registros e o parâmetro definido como. --policy-scope RESOURCE

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group:log-stream:*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}

O limite da política de recursos do grupo de registros é de 51.200 bytes. Quando esse limite é atingido, a AWS não pode adicionar novas permissões. Isso exige que os clientes modifiquem manualmente a política para conceder ao principal delivery.logs.amazonaws.com serviço permissões sobre as logs:PutLogEvents ações logs:CreateLogStream e. Os clientes devem usar um prefixo de nome de grupo de registros com curingas, como, /aws/vendedlogs/* e usar esse nome de grupo de registros para a criação futura do Delivery.

JSON
{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "delivery.logs.amazonaws.com"
                ]
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:111122223333:log-group:my-log-group/aws/vendedlogs/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "0123456789"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:111122223333:*"
                    ]
                }
            }
        }
    ]
}