Creación de una política de IAM para acceder a los recursos de CloudWatch Logs - Amazon Aurora

Creación de una política de IAM para acceder a los recursos de CloudWatch Logs

Aurora puede acceder a CloudWatch Logs para exportar datos de registros de auditoría desde un clúster de base de datos Aurora. Sin embargo, primero debe crear una política de IAM que asigne los permisos de grupo de registros y flujo de registros que hacen posible que Aurora acceda a CloudWatch Logs.

La siguiente política agrega los permisos que requiere Aurora para acceder a Amazon CloudWatch Logs en su nombre y el número mínimo de permisos necesarios para crear grupos de registros y exportar datos. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:GetLogEvents",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*"
        },
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutRetentionPolicy",
                "logs:CreateLogGroup"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*"
        }
    ]
}

Puede modificar los ARN de la política para restringir el acceso a una región y cuenta de AWS específicas.

Puede seguir los pasos indicados a continuación para crear una política de IAM que otorgue los permisos mínimos necesarios para que Aurora tenga acceso a CloudWatch Logs en su nombre. Para conceder acceso total de Aurora a CloudWatch Logs puede omitir estos pasos y usar la política de IAM predefinida CloudWatchLogsFullAccess en lugar de crear la suya propia. Para obtener más información, consulte Uso de políticas basadas en identidad (políticas de IAM) para CloudWatch Logs en la Guía del usuario de Amazon CloudWatch.

Para crear una política de IAM para dar acceso a los recursos de CloudWatch Logs

  1. Abra la consola de IAM.

  2. En el panel de navegación, seleccione Policies (Políticas).

  3. Elija Create Policy.

  4. En la pestaña Visual editor (Editor visual), elija Choose a service (Elegir un servicio) y, a continuación, CloudWatch Logs.

  5. Para Actions (Acciones), elija Expand all (Expandir todo) (a la derecha) y, a continuación, elija los permisos de Amazon CloudWatch Logs necesarios para la política de IAM.

    Compruebe que los permisos siguientes estén seleccionados:

    • CreateLogGroup

    • CreateLogStream

    • DescribeLogStreams

    • GetLogEvents

    • PutLogEvents

    • PutRetentionPolicy

  6. Elija Resources (Recursos) y Add ARN (Añadir ARN) para log-group.

  7. En el cuadro de diálogo Add ARN(s) (Añadir ARN), escriba los siguientes valores:

    • Región: una región de AWS o *

    • Account (Cuenta): un número de cuenta o *

    • Log Group Name (Nombre del grupo de registro/aws/rds/*

  8. En el cuadro de diálogo Add ARN(s) (Agregar ARN), elija Add (Agregar).

  9. Elija Add ARN (Añadir ARN) para log-stream.

  10. En el cuadro de diálogo Add ARN(s) (Añadir ARN), escriba los siguientes valores:

    • Región: una región de AWS o *

    • Account (Cuenta): un número de cuenta o *

    • Log Group Name (Nombre del grupo de registro/aws/rds/*

    • Log Stream Name (Nombre del flujo de registro*

  11. En el cuadro de diálogo Add ARN(s) (Agregar ARN), elija Add (Agregar).

  12. Elija Review policy (Revisar política).

  13. En Nombre, escriba un nombre para la política de IAM, por ejemplo, AmazonRDSCloudWatchLogs. Utilizará este nombre al crear un rol de IAM y asociarlo al clúster de base de datos Aurora. También puede añadir una descripción opcional en Description (Descripción).

  14. Elija Create Policy.

  15. Realice los pasos que se indican en Creación de un rol de IAM que permita a Amazon Aurora acceder a los servicios de AWS.