Configurer le rôle de CloudWatch journalisation - AWS Transfer Family

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer le rôle de CloudWatch journalisation

Pour définir l'accès, vous devez créer une politique IAM basée sur les ressources et un rôle IAM qui fournit ces informations d'accès.

Pour activer la CloudWatch journalisation Amazon, vous devez commencer par créer une politique IAM qui active la CloudWatch journalisation. Vous créez ensuite un rôle IAM et vous y associez la politique. Vous pouvez le faire lorsque vous créez un serveur ou en modifiant un serveur existant. Pour plus d'informations CloudWatch, consultez Qu'est-ce qu'Amazon CloudWatch ? et qu'est-ce qu'Amazon CloudWatch Logs ? dans le guide de CloudWatch l'utilisateur Amazon.

Utilisez les exemples de politiques IAM suivants pour autoriser la CloudWatch journalisation.

Use a logging role
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
        }
    ]
}
Use structured logging
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"                
            ],
            "Resource": "*"
        }
    ]
}

Dans l'exemple de politique précédent, pour leResource, remplacez le region-id et Compte AWSpar vos valeurs. Par exemple, "Resource": "arn:aws::logs:us-east-1:111122223333:log-group:/aws/transfer/*"

Vous créez ensuite un rôle et associez la politique de CloudWatch journalisation que vous avez créée.

Pour créer un rôle IAM et attacher une stratégie

  1. Dans le volet de navigation, sélectionnez Rôles, puis Créer un rôle.

    Sur la page Créer un rôle, assurez-vous que le AWS service est sélectionné.

  2. Choisissez Transfer (Transférer) dans la liste des services, puis Next: Permissions (Suivant : Autorisations). Cela établit une relation de confiance entre AWS Transfer Family et le rôle IAM. De plus, ajoutez aws:SourceAccount et aws:SourceArn conditionnez des clés pour vous protéger contre le problème de confusion des adjoints. Consultez la documentation suivante pour plus de détails :

  3. Dans la section Joindre des politiques d'autorisation, recherchez et choisissez la politique CloudWatch Logs que vous venez de créer, puis choisissez Next : Tags.

  4. (Facultatif) Entrez une clé et une valeur pour une balise, puis choisissez Next: Review (Suivant : Vérifier).

  5. Sur la page Review (Vérifier), entrez un nom et une description pour votre nouveau rôle, puis choisissez Create role (Créer un rôle).

  6. Pour consulter les journaux, choisissez l'ID du serveur pour ouvrir la page de configuration du serveur, puis choisissez Afficher les journaux. Vous êtes redirigé vers la CloudWatch console où vous pouvez consulter vos flux de journaux.

Sur la CloudWatch page de votre serveur, vous pouvez voir les enregistrements de l'authentification des utilisateurs (réussite et échec), des téléchargements de données (PUTopérations) et des téléchargements de données (GETopérations).