本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 讓 CloudTrail 能使用 CloudWatch Logs 進行監控的角色政策文件
<a name="cloudtrail-required-policy-for-cloudwatch-logs"></a>

本節說明 CloudTrail 角色要能向 CloudWatch Logs 傳送日誌事件所需的許可政策。當您設定 CloudTrail 傳送事件時，可以將政策文件連接至角色，如 [傳送事件到 CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md) 中的說明。您也可以使用 IAM 建立角色。如需詳細資訊，請參閱[建立角色以將許可委派給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)或[建立 IAM 角色 (AWS CLI)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html#roles-creatingrole-user-cli)。

下列範例政策文件包含在您指定之日誌群組中建立 CloudWatch 日誌串流的必要許可，以及將 CloudTrail 事件傳遞到美國東部 (俄亥俄) 區域中該日誌串流的必要許可。(這是用於預設 IAM 角色 `CloudTrail_CloudWatchLogs_Role` 的預設政策。)

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream2014110",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111122223333:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"
            ]
        }
    ]
}
```

------

如果您建立可能也會用於組織線索的政策，則您將需要從該角色原已建的預設政策中開始修改。例如，下列政策會授予 CloudTrail 在您指定為 *log\$1group\$1name* 值的日誌群組中建立 CloudWatch Logs 日誌串流所需的許可，以及針對 AWS 帳戶 111111111111 中的兩個線索，以及在 111111111111 帳戶中建立的組織線索，將 CloudTrail 事件交付至該日誌串流，這些線索會套用到 ID 為 *o-exampleorgid* AWS Organizations 的組織：

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream20141101",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents20141101",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:111111111111_CloudTrail_us-east-2*",
                "arn:aws:logs:us-east-2:111111111111:log-group:log_group_name:log-stream:o-exampleorgid_*"
            ]
        }
    ]
}
```

------

如需組織線索的詳細資訊，請參閱[建立組織追蹤](creating-trail-organization.md)。