As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurar logs do Amazon MQ for ActiveMQ
Para permitir que o Amazon MQ publique registros no CloudWatch Logs, você deve [adicionar uma permissão ao seu usuário do Amazon MQ](#security-logging-monitoring-configure-cloudwatch-permissions) e [também configurar uma política baseada em recursos para o Amazon MQ](#security-logging-monitoring-configure-cloudwatch-resource-permissions) antes de criar ou reiniciar o agente.
**nota**
Quando você ativa os registros e publica mensagens do console web ActiveMQ, o conteúdo da mensagem é enviado e exibido CloudWatch nos registros.
A seguir, descrevemos as etapas para configurar CloudWatch registros para seus corretores ActiveMQ.
**Topics**
+ [Entendendo a estrutura do registro em CloudWatch Logs](#security-logging-monitoring-configure-cloudwatch-structure)
+ [Adicionar a permissão `CreateLogGroup` ao seu usuário do Amazon MQ](#security-logging-monitoring-configure-cloudwatch-permissions)
+ [Configure uma política baseada em recursos para o Amazon MQ](#security-logging-monitoring-configure-cloudwatch-resource-permissions)
+ [Prevenção contra o ataque do “substituto confuso” em todos os serviços](#security-logging-monitoring-configure-cloudwatch-confused-deputy)
## Entendendo a estrutura do registro em CloudWatch Logs
Você pode habilitar o registro *geral* e de *auditoria* quando configurar definições avançadas do agente na criação ou edição de um agente.
O registro geral ativa o nível de `INFO` registro padrão (o `DEBUG` registro não é suportado) e publica `activemq.log` em um grupo de registros em sua CloudWatch conta. O grupo de logs tem um formato semelhante ao seguinte:
```
/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/general
```
O [registro de auditoria](http://activemq.apache.org/audit-logging.html) permite o registro de ações de gerenciamento realizadas usando o JMX ou o ActiveMQ Web Console e publica em um grupo de registros em `audit.log` sua conta. CloudWatch O grupo de logs tem um formato semelhante ao seguinte:
```
/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/audit
```
Dependendo se você tem um [agente de instância única](amazon-mq-broker-architecture.md#single-broker-deployment) ou um [agente ativo/em espera](amazon-mq-broker-architecture.md#active-standby-broker-deployment), o Amazon MQ cria uma ou duas transmissões de log dentro de cada grupo de logs. Os fluxos de log têm um formato semelhante ao seguinte:
```
activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-1.log
activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-2.log
```
Os sufixos `-1` e `-2` denotam instâncias individuais do agente. Para obter mais informações, consulte Como [trabalhar com grupos de registros e fluxos de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) no *[Guia do usuário do Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*.
## Adicionar a permissão `CreateLogGroup` ao seu usuário do Amazon MQ
Para permitir que o Amazon MQ crie um grupo de CloudWatch logs de registros, você deve garantir que o usuário que cria ou reinicializa o agente tenha a permissão. `logs:CreateLogGroup`
**Importante**
Se você não adicionar a permissão `CreateLogGroup` ao seu usuário do Amazon MQ antes que ele crie ou reinicialize o agente, o Amazon MQ não criará o grupo de logs.
O exemplo a seguir [Política baseada no IAM](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html#identity-based-policies-cwl) concede permissão para `logs:CreateLogGroup` para usuários aos quais esta política está anexada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "logs:CreateLogGroup",
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*"
}
]
}
```
------
**nota**
Aqui, o termo usuário se refere a *Usuários* e não a *Usuários do Amazon MQ*, que são criados quando um novo agente é configurado. Para obter mais informações sobre a configuração de usuários e de políticas do IAM, consulte a seção [Visão geral do gerenciamento de identidade](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_identity-management.html) do Guia do usuário do IAM.
Para obter mais informações, consulte `[CreateLogGroup](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogGroup.html)` a *Referência da API Amazon CloudWatch Logs*.
## Configure uma política baseada em recursos para o Amazon MQ
**Importante**
Se você não configurar uma política baseada em recursos para o Amazon MQ, o agente não poderá publicar os registros no Logs. CloudWatch
Para permitir que o Amazon MQ publique registros em seu grupo de registros de CloudWatch registros, configure uma política baseada em recursos para dar ao Amazon MQ acesso às seguintes ações da API de registros: CloudWatch
+ `[CreateLogStream](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogStream.html)`— Cria um fluxo de CloudWatch registros para o grupo de registros especificado.
+ `[PutLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutLogEvents.html)`— Entrega eventos para o fluxo de registro de CloudWatch registros especificado.
A política baseada em recursos a seguir concede permissão para `logs:CreateLogStream` e `logs:PutLogEvents` para. AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "mq.amazonaws.com" },
"Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ],
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*"
}
]
}
```
------
Essa política baseada em recursos *deve* ser configurada usando o, AWS CLI conforme mostrado no comando a seguir. No exemplo, substitua `us-east-1` com suas próprias informações.
```
aws --region us-east-1 logs put-resource-policy --policy-name AmazonMQ-logs \
--policy-document "{\"Version\": \"2012-10-17\", \"Statement\":[{ \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"mq.amazonaws.com\" },
\"Action\": [\"logs:CreateLogStream\", \"logs:PutLogEvents\"], \"Resource\": \"arn:aws:logs:*:*:log-group:\/aws\/amazonmq\/*\" }]}"
```
**nota**
Como esse exemplo usa o `/aws/amazonmq/` prefixo, você precisa configurar a política baseada em recursos somente uma vez por AWS conta, por região.
## Prevenção contra o ataque do “substituto confuso” em todos os serviços
“Confused deputy” é um problema de segurança no qual uma entidade sem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com diretores de serviços que receberam acesso aos recursos em sua conta.
Recomendamos usar as `[aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)` chaves de contexto de condição `[aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)` global em sua política baseada em recursos do Amazon MQ para limitar o acesso aos CloudWatch registros a um ou mais corretores específicos.
**nota**
Se você utilizar ambas as chaves de contexto de condição global, o valor `aws:SourceAccount` e a conta `aws:SourceArn` no valor deverão utilizar o mesmo ID de conta quando utilizados na mesma instrução de política.
O exemplo a seguir demonstra uma política baseada em recursos que limita o acesso aos CloudWatch registros a um único agente do Amazon MQ.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "mq.amazonaws.com"
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:mq:us-west-1:123456789012:broker:my-broker:123456789012"
}
}
}
]
}
```
------
Você também pode configurar sua política baseada em recursos para limitar o acesso aos CloudWatch registros a todos os corretores em uma conta, conforme mostrado a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"mq.amazonaws.com"
]
},
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:mq:*:123456789012:broker:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
]
}
```
------
Para obter mais informações sobre o problema de segurança de representante confuso, consulte [O problema do representante confuso](https://docs.aws.amazon.com/hIAM/latest/UserGuide/confused-deputy.html), no *Guia do usuário*.