IAMperan untuk pengiriman lintas akun - Amazon Virtual Private Cloud
Peran akun sumberPeran akun tujuan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMperan untuk pengiriman lintas akun

Saat memublikasikan ke Amazon Data Firehose, Anda dapat memilih aliran pengiriman yang berada di akun yang sama dengan sumber daya yang akan dipantau (akun sumber), atau di akun lain (akun tujuan). Untuk mengaktifkan pengiriman lintas akun log aliran ke Amazon Data Firehose, Anda harus membuat IAM peran di akun sumber dan IAM peran di akun tujuan.

Peran akun sumber

Di akun sumber, buat peran yang memberikan izin berikut. Dalam contoh ini, nama perannya adalahmySourceRole, tetapi Anda dapat memilih nama yang berbeda untuk peran ini. Pernyataan terakhir memungkinkan peran dalam akun tujuan untuk mengambil peran ini. Pernyataan kondisi memastikan bahwa peran ini diteruskan hanya ke layanan pengiriman log, dan hanya saat memantau sumber daya yang ditentukan. Saat Anda membuat kebijakan, tentukanVPCs, antarmuka jaringan, atau subnet yang Anda pantau dengan kunci kondisi. iam:AssociatedResourceARN

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::source-account:role/mySourceRole",
      "Condition": {
          "StringEquals": {
              "iam:PassedToService": "delivery.logs.amazonaws.com"
          },
          "StringLike": {
              "iam:AssociatedResourceARN": [
                  "arn:aws:ec2:region:source-account:vpc/vpc-00112233344556677"
              ]
          }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
          "logs:CreateLogDelivery",
          "logs:DeleteLogDelivery",
          "logs:ListLogDeliveries",
          "logs:GetLogDelivery"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole"      
    }
  ]
}

Pastikan bahwa peran ini memiliki kebijakan kepercayaan berikut, yang memungkinkan layanan pengiriman log untuk mengambil peran tersebut.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Dari akun sumber, gunakan prosedur berikut untuk membuat peran.

Untuk membuat peran akun sumber

  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Pada halaman Buat kebijakan, lakukan hal berikut:

    1. Pilih JSON.

    2. Ganti isi jendela ini dengan kebijakan izin di awal bagian ini.

    3. Pilih Berikutnya.

    4. Masukkan nama untuk kebijakan Anda serta deskripsi dan tag opsional, lalu pilih Buat kebijakan.

  5. Di panel navigasi, pilih Peran.

  6. Pilih Buat peran.

  7. Untuk jenis entitas Tepercaya, pilih Kebijakan kepercayaan khusus. Untuk kebijakan kepercayaan kustom, ganti "Principal": {}, dengan yang berikut ini, yang menentukan layanan pengiriman log. Pilih Berikutnya.

    "Principal": {
   "Service": "delivery.logs.amazonaws.com"
},

  8. Pada halaman Tambahkan izin, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.

  9. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional.

  10. Pilih Buat peran.

Peran akun tujuan

Di akun tujuan, buat peran dengan nama yang dimulai dengan AWSLogDeliveryFirehoseCrossAccountRole. Peran ini harus memberikan izin berikut.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "iam:CreateServiceLinkedRole",
          "firehose:TagDeliveryStream"
      ],
      "Resource": "*"
    }
  ]
}

Pastikan peran ini memiliki kebijakan kepercayaan berikut, yang memungkinkan peran yang Anda buat di akun sumber untuk mengambil peran ini.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
          "AWS": "arn:aws:iam::source-account:role/mySourceRole"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Dari akun tujuan, gunakan prosedur berikut untuk membuat peran.

Untuk membuat peran akun tujuan

  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Pada halaman Buat kebijakan, lakukan hal berikut:

    1. Pilih JSON.

    2. Ganti isi jendela ini dengan kebijakan izin di awal bagian ini.

    3. Pilih Berikutnya.

    4. Masukkan nama untuk kebijakan Anda yang dimulai dengan AWSLogDeliveryFirehoseCrossAccountRole, lalu pilih Buat kebijakan.

  5. Di panel navigasi, pilih Peran.

  6. Pilih Buat peran.

  7. Untuk jenis entitas Tepercaya, pilih Kebijakan kepercayaan khusus. Untuk kebijakan kepercayaan khusus, ganti "Principal": {}, dengan yang berikut, yang menentukan peran akun sumber. Pilih Berikutnya.

    "Principal": {
   "AWS": "arn:aws:iam::source-account:role/mySourceRole"
},

  8. Pada halaman Tambahkan izin, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.

  9. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional.

  10. Pilih Buat peran.