Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Logs envoyés à Firehose
Cette section s'applique lorsque les types de journaux répertoriés dans le tableau de la section précédente sont envoyés à Firehose :
Autorisations des utilisateurs
Pour pouvoir configurer l'envoi de l'un de ces types de journaux à Firehose pour la première fois, vous devez être connecté à un compte avec les autorisations suivantes.
-
logs:CreateLogDelivery -
firehose:TagDeliveryStream -
iam:CreateServiceLinkedRole
Si l'un de ces types de journaux est déjà envoyé à Firehose, vous devez uniquement disposer des autorisations et pour configurer l'envoi d'un autre de ces types de journaux à Firehose. logs:CreateLogDelivery firehose:TagDeliveryStream
Rôles IAM utilisés pour les autorisations
Comme Firehose n'utilise pas de politiques de ressources, il AWS utilise les rôles IAM lors de la configuration de ces journaux à envoyer à Firehose. AWS crée un rôle lié à un service nommé. AWSServiceRoleForLogDelivery Ce rôle lié à un service comprend les autorisations suivantes.
Ce rôle lié à un service accorde l'autorisation à tous les flux de diffusion Firehose dont la LogDeliveryEnabled balise est définie sur. true AWS attribue cette balise au flux de diffusion de destination lorsque vous configurez la journalisation.
Ce rôle lié à un service possède également une politique d'approbation qui permet au principal du service delivery.logs.amazonaws.com d'assumer le rôle lié au service nécessaire. Cette politique d'approbation est la suivante :
