本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 必須具備 IAM 許可才能建立或使用資料保護政策
若要能夠使用日誌群組的資料保護政策,您必須具有下表所示的特定許可。帳戶層級的資料保護政策和套用至單一日誌群組的資料保護政策的許可有所不同。
## 帳戶層級資料保護政策所需的許可
**注意**
如果您要在 Lambda 函數內執行這些作業,Lambda 執行角色和許可界限也必須包含下列許可。
- ** **建立不具有稽核目的地的資料保護政策** **
- **需要 IAM 許可:** `logs:PutAccountPolicy` / **資源:** `*`
- **需要 IAM 許可:** `logs:PutDataProtectionPolicy` / **資源:** `*`
- ** **建立以 CloudWatch Logs 為稽核目的地的資料保護政策** **
- **需要 IAM 許可:** `logs:PutAccountPolicy` / **資源:** `*`
- **需要 IAM 許可:** `logs:PutDataProtectionPolicy` / **資源:** `*`
- **需要 IAM 許可:** `logs:CreateLogDelivery` / **資源:** `*`
- **需要 IAM 許可:** `logs:PutResourcePolicy` / **資源:** `*`
- **需要 IAM 許可:** `logs:DescribeResourcePolicies` / **資源:** `*`
- **需要 IAM 許可:** `logs:DescribeLogGroups` / **資源:** `*`
- ** **使用 Firehose 作為稽核目的地來建立資料保護政策** **
- **需要 IAM 許可:** `logs:PutAccountPolicy` / **資源:** `*`
- **需要 IAM 許可:** `logs:PutDataProtectionPolicy` / **資源:** `*`
- **需要 IAM 許可:** `logs:CreateLogDelivery` / **資源:** `*`
- **需要 IAM 許可:** `firehose:TagDeliveryStream` / **資源:** `arn:aws:logs:::deliverystream/{{YOUR_DELIVERY_STREAM}}`
- ** **建立以 Amazon S3 為稽核目的地的資料保護政策** **
- **需要 IAM 許可:** `logs:PutAccountPolicy` / **資源:** `*`
- **需要 IAM 許可:** `logs:PutDataProtectionPolicy` / **資源:** `*`
- **需要 IAM 許可:** `logs:CreateLogDelivery` / **資源:** `*`
- **需要 IAM 許可:** `s3:GetBucketPolicy` / **資源:** `arn:aws:s3:::{{YOUR_BUCKET}}`
- **需要 IAM 許可:** `s3:PutBucketPolicy` / **資源:** `arn:aws:s3:::{{YOUR_BUCKET}}`
- ** **取消遮罩指定日誌群組中的遮罩日誌事件** **
- **需要 IAM 許可:** `logs:Unmask`
- **資源:** `arn:aws:logs:::log-group:*`
- ** **檢視現有的資料保護政策** **
- **需要 IAM 許可:** `logs:GetDataProtectionPolicy`
- **資源:** `*`
- ** **刪除資料保護政策** **
- **需要 IAM 許可:** `logs:DeleteAccountPolicy` / **資源:** `*`
- **需要 IAM 許可:** `logs:DeleteDataProtectionPolicy` / **資源:** `*`
如果有任何資料保護稽核日誌已傳送至目的地,則也將日誌傳送至相同目的地的其他策略僅需要 `logs:PutDataProtectionPolicy` 和 `logs:CreateLogDelivery` 許可。
## 單一日誌群組之資料保護政策所需的許可
**注意**
如果您要在 Lambda 函數內執行這些作業,Lambda 執行角色和許可界限也必須包含下列許可。
| 作業 | 需要 IAM 許可 | 資源 |
| --- | --- | --- |
| 建立不具有稽核目的地的資料保護政策 | `logs:PutDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` |
| 建立以 CloudWatch Logs 為稽核目的地的資料保護政策 | `logs:PutDataProtectionPolicy`
`logs:CreateLogDelivery`
`logs:PutResourcePolicy`
`logs:DescribeResourcePolicies`
`logs:DescribeLogGroups` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`
`*`
`*`
`*`
`*` |
| 使用 Firehose 作為稽核目的地來建立資料保護政策 | `logs:PutDataProtectionPolicy`
`logs:CreateLogDelivery`
`firehose:TagDeliveryStream` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`
`*`
`arn:aws:logs:::deliverystream/{{YOUR_DELIVERY_STREAM}}` |
| 建立以 Amazon S3 為稽核目的地的資料保護政策 | `logs:PutDataProtectionPolicy`
`logs:CreateLogDelivery`
`s3:GetBucketPolicy`
`s3:PutBucketPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*`
`*`
`arn:aws:s3:::{{YOUR_BUCKET}}`
`arn:aws:s3:::{{YOUR_BUCKET}}` |
| 取消遮罩已遮罩的日誌事件 | `logs:Unmask` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` |
| 檢視現有的資料保護政策 | `logs:GetDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` |
| 刪除資料保護政策 | `logs:DeleteDataProtectionPolicy` | `arn:aws:logs:::log-group:{{YOUR_LOG_GROUP}}:*` |
如果有任何資料保護稽核日誌已傳送至目的地,則也將日誌傳送至相同目的地的其他策略僅需要 `logs:PutDataProtectionPolicy` 和 `logs:CreateLogDelivery` 許可。
## 資料保護政策範例
下列政策範例可讓使用者建立、檢視及刪除資料保護政策,這些政策可將稽核調查結果傳送至全部三種稽核目的地類型。它不允許使用者檢視未遮罩的資料。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowLogDeliveryConfiguration",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:PutResourcePolicy",
"logs:DescribeLogGroups",
"logs:DescribeResourcePolicies"
],
"Resource": "*"
},
{
"Sid": "AllowDataProtectionAndBucketConfiguration",
"Effect": "Allow",
"Action": [
"logs:GetDataProtectionPolicy",
"logs:DeleteDataProtectionPolicy",
"logs:PutDataProtectionPolicy",
"s3:PutBucketPolicy",
"firehose:TagDeliveryStream",
"s3:GetBucketPolicy"
],
"Resource": [
"arn:aws:firehose:{{us-east-1}}:{{111122223333}}:deliverystream/{{delivery-stream-name}}",
"arn:aws:s3:::{{amzn-s3-demo-destination-bucket}}",
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:{{log-group-name}}:*"
]
}
]
}
```
------