Fase 1: Creare un flusso di distribuzione Firehose - CloudWatch Registri Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 1: Creare un flusso di distribuzione Firehose

Importante

Prima di completare i seguenti passaggi, è necessario utilizzare una policy di accesso, in modo che Firehose possa accedere al bucket Amazon S3. Per ulteriori informazioni, consulta Controlling Access nella Amazon Data Firehose Developer Guide.

Tutti i passaggi in questa sezione (Fase 1) devono essere eseguiti nell'account del destinatario dei dati di log.

La regione Stati Uniti orientali (Virginia settentrionale) viene utilizzata nei comandi di esempio. Sostituiscila con la Regione corretta per l'implementazione.

Per creare un flusso di distribuzione Firehose da utilizzare come destinazione

  1. Crea un bucket Amazon S3:

    aws s3api create-bucket --bucket firehose-test-bucket1 --create-bucket-configuration LocationConstraint=us-east-1

  2. Crea il IAM ruolo che concede a Firehose l'autorizzazione a inserire dati nel bucket.

    1. In primo luogo, utilizza un editor di testo per creare una policy di attendibilità in un file ~/TrustPolicyForFirehose.json.

      { "Statement": { "Effect": "Allow", "Principal": { "Service": "firehose.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId":"222222222222" } } } }

    2. Crea il IAM ruolo, specificando il file di policy di fiducia che hai appena creato.

      aws iam create-role \ 
    --role-name FirehosetoS3Role \ 
    --assume-role-policy-document file://~/TrustPolicyForFirehose.json

    3. L'output di questo comando risulterà simile al seguente: Prendi nota del nome del ruolo e del ruoloARN.

      {
    "Role": {
        "Path": "/",
        "RoleName": "FirehosetoS3Role",
        "RoleId": "AROAR3BXASEKW7K635M53",
        "Arn": "arn:aws:iam::222222222222:role/FirehosetoS3Role",
        "CreateDate": "2021-02-02T07:53:10+00:00",
        "AssumeRolePolicyDocument": {
            "Statement": {
                "Effect": "Allow",
                "Principal": {
                    "Service": "firehose.amazonaws.com"
                },
                "Action": "sts:AssumeRole",
                "Condition": {
                    "StringEquals": {
                        "sts:ExternalId": "222222222222"
                    }
                }
            }
        }
    }
}

  3. Crea una politica di autorizzazioni per definire le azioni che Firehose può eseguire sul tuo account.

    1. In primo luogo, utilizza un editor di testo per creare la policy di autorizzazione seguente in un file denominato ~/PermissionsForFirehose.json. A seconda del caso d'uso, potresti dover aggiungere altre autorizzazioni a questo file.

      {
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::firehose-test-bucket1",
            "arn:aws:s3:::firehose-test-bucket1/*"
        ]
    }]
}

    2. Immettete il seguente comando per associare al ruolo la politica di autorizzazioni appena creata. IAM

      aws iam put-role-policy --role-name FirehosetoS3Role --policy-name Permissions-Policy-For-Firehose-To-S3 --policy-document file://~/PermissionsForFirehose.json

  4. Immettete il seguente comando per creare il flusso di distribuzione di Firehose. Replace (Sostituisci) my-role-arn e my-bucket-arn con i valori corretti per la tua implementazione.

    aws firehose create-delivery-stream \
   --delivery-stream-name 'my-delivery-stream' \
   --s3-destination-configuration \
  '{"RoleARN": "arn:aws:iam::222222222222:role/FirehosetoS3Role", "BucketARN": "arn:aws:s3:::firehose-test-bucket1"}'

    L'output visualizzato dovrebbe essere simile al seguente:

    {
    "DeliveryStreamARN": "arn:aws:firehose:us-east-1:222222222222:deliverystream/my-delivery-stream"
}