IAMperan untuk menerbitkan log alur ke CloudWatch Log

IAMPeran yang terkait dengan log alur harus memiliki izin yang memadai untuk menerbitkan log alur ke grup log tertentu di CloudWatch Log. IAMPeran harus menjadi milik AWS akun Anda.

IAMKebijakan yang dilampirkan ke IAM peran Anda harus menyertakan setidaknya izin berikut.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}

Pastikan peran Anda memiliki kebijakan kepercayaan berikut, yang memungkinkan layanan log alur untuk mengambil peran.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Kami menyarankan Anda menggunakan kunci syarat aws:SourceAccount dan aws:SourceArn untuk melindungi diri Anda dari masalah wakil yang membingungkan. Misalnya, Anda dapat menambahkan blok kondisi berikut ke kebijakan kepercayaan sebelumnya. Akun sumber adalah pemilik log aliran dan sumbernya ARN adalah log aliranARN. Jika Anda tidak mengetahui ID log alur, Anda dapat mengganti bagian tersebut ARN dengan wildcard (*) dan kemudian memperbarui kebijakan setelah Anda membuat log alur.


"Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
    }
}

Membuat IAM peran untuk log alur

Anda dapat memperbarui peran yang ada seperti dijelaskan di atas. Atau, Anda dapat menggunakan prosedur berikut untuk membuat peran baru untuk digunakan dengan log alur. Anda akan menentukan peran ini saat membuat log alur.

Untuk membuat IAM peran untuk log alur

Buka IAM konsol di https://console.aws.amazon.com/iam/.
Di panel navigasi, pilih Kebijakan.
Pilih Buat kebijakan.
Di halaman Buat kebijakan, lakukan hal berikut:
1. Pilih JSON.
2. Ganti isi jendela ini dengan kebijakan izin di awal bagian ini.
3. Pilih Berikutnya.
4. Masukkan nama untuk kebijakan Anda dan deskripsi dan tag opsional, dan kemudian pilih Buat kebijakan.
Di panel navigasi, pilih Peran.
Pilih Buat peran.
Untuk jenis entitas Tepercaya, pilih Kebijakan kepercayaan khusus. Untuk kebijakan kepercayaan kustom, ganti "Principal": {}, dengan yang berikut ini, lalu pilih Berikutnya.
```
"Principal": {
   "Service": "vpc-flow-logs.amazonaws.com"
},
```
Pada halaman Tambahkan izin, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.
Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional.
Pilih Buat peran.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Terbitkan ke CloudWatch Log

Membuat log alur yang menerbitkan ke CloudWatch Log