您好,我正在遵循https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf的指南。我想完成第3部分的基础结构更改。要开始此过程,我需要创建一个启用了SSE-KMS加密的aws_cloudtrail资源。我目前正在查看此资源的documentation。如何自动为CloudWatch Logs端点指定角色以假定要写入用户的日志组的过程?
resource aws_cloudtrail "cisbenchmark" {
name = "cis-benchmark"
enable_logging = true
s3_bucket_name = aws_s3_bucket.cisbenchmark.bucket
enable_log_file_validation = true
is_multi_region_trail = true
include_global_service_events = true
cloud_watch_logs_role_arn = ????
cloud_watch_logs_group_arn = aws_cloudwatch_log_group.cisbenchmark.arn
kms_key_id = var.kms_key_arn
is_organization_trail = true
}
我添加了????来指定缺少属性的位置。