Rôles IAM pour la diffusion entre comptes

Lorsque vous publiez sur Amazon Data Firehose, vous pouvez choisir un flux de diffusion enregistré sur le même compte que la ressource à surveiller (le compte source) ou sur un autre compte (le compte de destination). Pour permettre la transmission des journaux de flux entre comptes à Amazon Data Firehose, vous devez créer un IAM rôle dans le compte source et un IAM rôle dans le compte de destination.

Rôle du compte source

Dans le compte source, créez un rôle qui accorde les autorisations suivantes. Dans cet exemple, le rôle a pour nom mySourceRole, mais vous pouvez choisir un nom différent. La dernière instruction permet au rôle dans le compte de destination d'assumer ce rôle. Les instructions de condition garantissent que ce rôle est transmis uniquement au service de diffusion de journaux, et uniquement lors de la surveillance de la ressource spécifiée. Lorsque vous créez votre politique, spécifiez les VPCs interfaces réseau ou les sous-réseaux que vous surveillez à l'aide de la clé iam:AssociatedResourceARN de condition.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::source-account:role/mySourceRole",
      "Condition": {
          "StringEquals": {
              "iam:PassedToService": "delivery.logs.amazonaws.com"
          },
          "StringLike": {
              "iam:AssociatedResourceARN": [
                  "arn:aws:ec2:region:source-account:vpc/vpc-00112233344556677"
              ]
          }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
          "logs:CreateLogDelivery",
          "logs:DeleteLogDelivery",
          "logs:ListLogDeliveries",
          "logs:GetLogDelivery"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole"      
    }
  ]
}

Assurez-vous que ce rôle possède la politique de confiance suivante, qui permet au service de diffusion de journaux d'assumer ce rôle.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
} 

À partir du compte source, observez la procédure suivante afin de créer le rôle.

Pour créer le rôle du compte source

1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le panneau de navigation, choisissez Politiques.

3. Sélectionnez Create policy (Créer une politique).

4. Sur la page Create policy (Créer une stratégie), procédez comme suit :

   1. Choisissez JSON.

   2. Remplacez le contenu de cette fenêtre par la politique d'autorisations au début de cette section.

   3. Choisissez Suivant.

   4. Entrez un nom pour votre politique ainsi qu'une description et des balises facultatives, puis choisissez Créer une politique.

5. Dans le panneau de navigation, choisissez Roles (Rôles).

6. Sélectionnez Create role (Créer un rôle).

7. Pour Trusted entity type (Type d'entité de confiance), choisissez Custom trust policy (Politique de confiance personnalisée). Pour Custom trust policy (Politique de confiance personnalisée), remplacez "Principal": {}, par ce qui suit, qui spécifie le service de diffusion de journaux. Choisissez Suivant.

   "Principal": {
      "Service": "delivery.logs.amazonaws.com"
   },

8. Sur la page Add permissions (Ajouter des autorisations), cochez la case correspondant à la politique que vous avez créée plus tôt dans cette procédure, puis choisissez Next (Suivant).

9. Entrez un nom pour votre rôle et fournissez une description, le cas échéant.

10. Sélectionnez Créer un rôle.

Rôle du compte de destination

Dans le compte de destination, créez un rôle dont le nom commence par AWSLogDeliveryFirehoseCrossAccountRole. Ce rôle doit accorder les autorisations suivantes.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "iam:CreateServiceLinkedRole",
          "firehose:TagDeliveryStream"
      ],
      "Resource": "*"
    }
  ]
}

Assurez-vous que ce rôle possède la politique de confiance suivante, qui permet au rôle que vous avez créé dans le compte source d'assumer ce rôle.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
          "AWS": "arn:aws:iam::source-account:role/mySourceRole"
      },
      "Action": "sts:AssumeRole"
    }
  ]
} 

À partir du compte de destination, appliquez la procédure suivante afin de créer le rôle.

Pour créer le rôle du compte de destination

1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le panneau de navigation, choisissez Politiques.

3. Sélectionnez Create policy (Créer une politique).

4. Sur la page Create policy (Créer une stratégie), procédez comme suit :

   1. Choisissez JSON.

   2. Remplacez le contenu de cette fenêtre par la politique d'autorisations au début de cette section.

   3. Choisissez Suivant.

   4. Entrez un nom pour votre politique commençant par AWSLogDeliveryFirehoseCrossAccountRole, puis choisissez Créer une politique.

5. Dans le panneau de navigation, choisissez Roles (Rôles).

6. Sélectionnez Create role (Créer un rôle).

7. Pour Trusted entity type (Type d'entité de confiance), choisissez Custom trust policy (Politique de confiance personnalisée). Pour Custom trust policy (Politique de confiance personnalisée), remplacez "Principal": {}, par ce qui suit, qui spécifie le rôle de compte source. Choisissez Suivant.

   "Principal": {
      "AWS": "arn:aws:iam::source-account:role/mySourceRole"
   },

8. Sur la page Add permissions (Ajouter des autorisations), cochez la case correspondant à la politique que vous avez créée plus tôt dans cette procédure, puis choisissez Next (Suivant).

9. Entrez un nom pour votre rôle et fournissez une description, le cas échéant.

10. Sélectionnez Créer un rôle.