Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Transit Gateway Flow registra los registros en Amazon Data Firehose
Temas
Los registros de flujo pueden publicar los datos del registro de flujo directamente en Firehose. Puede optar por publicar los registros de flujo en la misma cuenta que el monitor de recursos o en una cuenta diferente.
Requisitos previos
Al publicar en Firehose, los datos del registro de flujo se publican en un flujo de entrega de Firehose, en formato de texto plano. Primero debes haber creado una transmisión de entrega de Firehose. Para conocer los pasos necesarios para crear una transmisión de entrega, consulte Creación de una transmisión de entrega de Amazon Data Firehose en la Guía para desarrolladores de Amazon Data Firehose.
Precios
Se aplican los cargos estándar de ingesta y entrega. Para obtener más información, abre Amazon CloudWatch Pricing
Roles de IAM para la entrega entre cuentas
Al publicar en Kinesis Data Firehose, puede elegir un flujo de entrega que esté en la misma cuenta que el recurso que se va a supervisar (la cuenta de origen) o en una cuenta diferente (la cuenta de destino). Para habilitar la entrega de registros de flujo entre cuentas a Firehose, debe crear un IAM rol en la cuenta de origen y un IAM rol en la cuenta de destino.
Rol de cuenta de origen
En la cuenta de origen, cree un rol que conceda los siguientes permisos. En este ejemplo, el nombre del rol es mySourceRole, pero puede elegir un nombre diferente para este rol. La última instrucción permite que el rol de la cuenta de destino asuma este rol. Las instrucciones de condición garantizan que esta función se pase solo al servicio de entrega de registros y solo al supervisar el recurso especificado. Al crear la política, especifique las VPCs interfaces de red o las subredes que va a supervisar con la clave iam:AssociatedResourceARN de condición.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::source-account:role/mySourceRole", "Condition": { "StringEquals": { "iam:PassedToService": "delivery.logs.amazonaws.com" }, "StringLike": { "iam:AssociatedResourceARN": [ "arn:aws:ec2:region:source-account:transit-gateway/tgw-0fb8421e2da853bf" ] } } }, { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:GetLogDelivery" ], "Resource": "*" }, { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole" } ] }
Asegúrese de que este rol tenga la siguiente política de confianza, la cual permite que el servicio de entrega de registros asuma el rol.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Rol de cuenta de destino
En la cuenta de destino, cree un rol con un nombre que comience por AWSLogDeliveryFirehoseCrossAccountRole. El rol debe otorgar los siguientes permisos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "firehose:TagDeliveryStream" ], "Resource": "*" } ] }
Asegúrese de que este rol tenga la siguiente política de confianza, la cual permite que el rol que creó en la cuenta de origen asuma este rol.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::source-account:role/mySourceRole" }, "Action": "sts:AssumeRole" } ] }
