Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d'une stratégie IAM pour accéder aux ressources CloudWatch Logs
Aurora peut accéder à CloudWatch Logs pour exporter des données de journaux d'audit à partir d'un cluster de bases de données Aurora. Toutefois, vous devez d'abord créer une stratégie IAM pour fournir les autorisations de groupe de journaux et de flux de journaux permettant à Aurora d'accéder à CloudWatch Logs.
La stratégie suivante permet d'ajouter les autorisations nécessaires à Aurora pour accéder à Amazon CloudWatch Logs en votre nom, ainsi que les autorisations minimales nécessaires pour créer des groupes de journaux et exporter des données.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents", "Effect": "Allow", "Action": [ "logs:GetLogEvents", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*" }, { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:PutRetentionPolicy", "logs:CreateLogGroup" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*" } ] }
Vous pouvez modifier les ARN de la stratégie pour restreindre l'accès à une région et à un compte AWS spécifiques.
Vous pouvez utiliser les étapes suivantes pour créer une stratégie IAM qui fournit les autorisations minimales nécessaires à Aurora pour accéder à CloudWatch Logs en votre nom. Pour accorder à Aurora un accès complet à CloudWatch Logs, vous pouvez ignorer ces étapes et utiliser la stratégie IAM prédéfinie CloudWatchLogsFullAccess au lieu de créer la vôtre. Pour de plus amples informations, veuillez consulter Utilisation des stratégies basées sur l'identité (stratégies IAM) pour CloudWatch Logs dans le Guide de l'utilisateur Amazon CloudWatch.
Pour créer une stratégie IAM accordant l'accès à vos ressources CloudWatch Logs
-
Ouvrez la console IAM
. -
Dans le panneau de navigation, choisissez Policies (Politiques).
-
Sélectionnez Créer une politique.
-
Sous l'onglet Visual (Éditeur visuel), choisissez Choose a service (Choisir un service), puis CloudWatch Logs.
-
Sous Actions, choisissez Expand all (Développer tout) (sur la droite), puis choisissez les autorisations Amazon CloudWatch Logs nécessaires à la stratégie IAM.
Assurez-vous que les autorisations suivantes sont sélectionnées :
-
CreateLogGroup -
CreateLogStream -
DescribeLogStreams -
GetLogEvents -
PutLogEvents -
PutRetentionPolicy
-
-
Choisissez Resources (Ressources), puis Add ARN (Ajouter un ARN) pour log-group.
-
Dans la boîte de dialogue Add ARN(s) (Ajouter un ou des ARN), entrez les valeurs suivantes :
-
Region (Région) – Région AWS ou
* -
Account (Compte) – Numéro de compte ou
* -
Nom du groupe de journaux –
/aws/rds/*
-
-
Dans la boîte de dialogue Add ARN(s) (Ajouter un ou des ARN), choisissez Ajouter.
-
Choisissez Add ARN (Ajouter un ARN) pour log-stream.
-
Dans la boîte de dialogue Add ARN(s) (Ajouter un ou des ARN), entrez les valeurs suivantes :
-
Region (Région) – Région AWS ou
* -
Account (Compte) – Numéro de compte ou
* -
Nom du groupe de journaux –
/aws/rds/* -
Log Stream Name (Nom du flux de journaux –
*
-
-
Dans la boîte de dialogue Add ARN(s) (Ajouter un ou des ARN), choisissez Ajouter.
-
Choisissez Examiner une stratégie.
-
Dans Name (Name), attribuez un nom à votre stratégie IAM, par exemple
AmazonRDSCloudWatchLogs. Vous utilisez ce nom lorsque vous créez un rôle IAM à associer à votre cluster de base de données Aurora. Vous pouvez également ajouter une valeur Description facultative. -
Choisissez Créer une stratégie.
Suivez les étapes de Création d'un rôle IAM pour autoriser Amazon Aurora à accéder aux services AWS.
