Erstellen einer IAM-Zugriffsrichtlinie für CloudWatch Logs-Ressourcen - Amazon Aurora

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen einer IAM-Zugriffsrichtlinie für CloudWatch Logs-Ressourcen

Aurora kann auf CloudWatch Logs zugreifen, um Auditprotokolldateien aus einem Aurora-DB-Cluster zu exportieren. Jedoch müssen Sie zuerst eine IAM-Richtlinie erstellen, die der Protokollgruppe und dem Protokollstream Berechtigungen erteilt, damit Aurora auf CloudWatch Logs zugreifen kann.

Die folgende Richtlinie fügt die erforderlichen Berechtigungen hinzu, damit Aurora auf Amazon CloudWatch Logs in Ihrem Namen zugreifen darf, sowie die mindestens erforderlichen Berechtigungen zur Erstellung von Protokollgruppen und zum Exportieren von Daten.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents", "Effect": "Allow", "Action": [ "logs:GetLogEvents", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*" }, { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutRetentionPolicy", "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*" } ] }

Sie können die ARNs in der Richtlinie ändern, um den Zugriff auf eine bestimmte AWS-Region und ein bestimmtes Konto einzuschränken.

Mit den folgenden Schritten können Sie eine IAM-Richtlinie erstellen, die die mindestens erforderlichen Berechtigungen für Aurora bereitstellt, um in Ihrem Namen auf CloudWatch Logs zuzugreifen. Um Aurora den uneingeschränkten Zugriff auf CloudWatch Logs zu erlauben, können Sie diese Schritte überspringen und die vordefinierten IAM-Richtlinie CloudWatchLogsFullAccess verwenden, anstatt eine eigene zu erstellen. Weitere Informationen finden Sie unter Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für CloudWatch Logs im Amazon CloudWatch-Benutzerhandbuch.

So können Sie eine IAM-Zugriffsrichtlinie erstellen, um Zugriff auf Ihre CloudWatch Logs-Ressourcen zu erlauben
  1. Öffnen Sie die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Policies aus.

  3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  4. Wählen Sie auf der Registerkarte Visueller Editor die Option Service auswählen und dann CloudWatch Logs (CloudWatch-Protokolle) aus.

  5. Wählen Sie für Actions (Aktionen) die Option Expand all (Alle erweitern) (auf er rechten Seite) und danach die für die IAM-Richtlinie erforderlichen Amazon CloudWatch Logs-Berechtigungen aus.

    Vergewissern Sie sich, dass die folgenden Berechtigungen ausgewählt sind:

    • CreateLogGroup

    • CreateLogStream

    • DescribeLogStreams

    • GetLogEvents

    • PutLogEvents

    • PutRetentionPolicy

  6. Wählen Sie Ressourcen und dann ARN hinzufügen für log-group (Protokollgruppe).

  7. Geben Sie im Dialogfeld ARN(s) hinzufügen die folgenden Werte ein:

    • Region – Eine AWS-Region oder *

    • Konto – Eine Kontonummer oder *

    • Protokollgruppenname/aws/rds/*

  8. Wählen Sie im Dialogfeld Add ARN(s) (ARN(s) hinzufügen) Add (Hinzufügen).

  9. Wählen Sie ARN hinzufügen für log-stream (Protokollstream).

  10. Geben Sie im Dialogfeld ARN(s) hinzufügen die folgenden Werte ein:

    • Region – Eine AWS-Region oder *

    • Konto – Eine Kontonummer oder *

    • Protokollgruppenname/aws/rds/*

    • Protokollstreamname*

  11. Wählen Sie im Dialogfeld Add ARN(s) (ARN(s) hinzufügen) Add (Hinzufügen).

  12. Wählen Sie Review policy (Richtlinie prüfen).

  13. Stellen Sie Name auf einen Namen für Ihre IAM-Zugriffsrichtlinie ein, zum Beispiel AmazonRDSCloudWatchLogs. Sie verwenden diesen Namen, wenn Sie eine IAM-Rolle erstellen, um sie Ihrem Aurora-DB-Cluster zuzuweisen. Sie können auch einen optionalen Wert für Description (Beschreibung) hinzufügen.

  14. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  15. Führen Sie die Schritte unter au Erstellen einer IAM-Rolle, um Amazon Aurora den Zugriff auf AWS-Services zu erlauben.