¿Cómo se puede crear un grupo de registro de CloudWatch para utilizarlo como destino de una regla de EventBridge?

Descripción corta

Cuando se crea una regla de EventBridge, se debe especificar el destino al que se envían los eventos que coinciden con la regla. Para obtener una lista de destinos disponibles para EventBridge, consulte Targets available in the EventBridge console (Destinos disponibles en la consola de EventBridge). Uno de los destinos que puede agregar a la regla de EventBridge es un grupo de registro de CloudWatch.

Resolución

Nota: Si se producen errores al ejecutar comandos de la AWS Command Line Interface (AWS CLI), asegúrese de que utiliza la versión más reciente de la AWS CLI.

Siga estos pasos para configurar un grupo de registros de CloudWatch para utilizarlo como destino de una regla de EventBridge:

1.    Abra la consola de EventBridge y elija la región en la que desea crear una regla.

2.    Seleccione Create rule (Crear regla) y, a continuación, ingrese cualquier información sobre esa regla, como el patrón de eventos o los detalles de la programación.

3.    En la página Seleccionar destino, elija CloudWatch como destino.

Nota: Para agregar un grupo de registros de CloudWatch como destino, puede:

• Crear un nuevo grupo de registros
• Usar un grupo de registros existente

Asegúrese de que el grupo de registros que utiliza como destino para la regla de EventBridge comience con /aws/events. Si crea un nuevo grupo de registros con la consola al crear una regla, EventBridge crea automáticamente el grupo de registros por usted. Si desea agregar un grupo de registros existente, tenga en cuenta que solo los grupos de registros que comiencen con /aws/events aparecen en la lista desplegable.

4.    Para entregar los datos de eventos al grupo de registros de destino, EventBridge necesita permiso para acceder al grupo de registros de destino. Utiliza este permiso para crear transmisiones de registro y enviar eventos a esas transmisiones de registro. Para los grupos de registros de CloudWatch, EventBridge utiliza una política basada en recursos para acceder al grupo de registros.

Si usa la consola para agregar grupos de registros a una regla de EventBridge, la política basada en recursos del grupo de registros se actualiza automáticamente. Sin embargo, si usa AWS SDK/API/CDK/CLI, debe actualizar manualmente la política basada en recursos del grupo de registros. Este documento de política de ejemplo demuestra los permisos que debe definir en la política basada en recursos del grupo de registros:

{
  "Statement": [
    {
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "events.amazonaws.com",
          "delivery.logs.amazonaws.com"
        ]
      },
      "Resource": "arn:aws:logs:region:account:log-group:/aws/events/*:*",
      "Sid": "TrustEventsToStoreLogEvent"
    }
  ],
  "Version": "2012-10-17"
}

No puede configurar una política basada en recursos de un grupo de registros mediante la consola. Para agregar estos permisos a una política basada en recursos, utilice la llamada a la API PutResourcePolicy. A continuación, utilice el comando describe-resource-policies para comprobar que la política se ha aplicado correctamente.

Nota: El límite actual es de 10 políticas por región y por cuenta. Si alcanza este límite, elimine las políticas no utilizadas o combine varias políticas.

5.    El servicio EventBridge utiliza el comando de la CLI PutRule para crear reglas. A continuación, utiliza la API PutTargets o el comando de la CLI put-targets para agregar destinos a una regla de EventBridge. Si utiliza el SDK, el CDK o la CLI de AWS, debe utilizar la API PutTargets o el comando de la CLI put-targets para agregar el grupo de registro a las reglas de EventBridge.

Información relacionada

CloudWatch Logs permissions (Permisos de Registros de CloudWatch)