Ruoli IAM per la consegna tra account

Quando pubblichi su Amazon Data Firehose, puoi scegliere un flusso di distribuzione nello stesso account della risorsa da monitorare (l'account di origine) o in un altro account (l'account di destinazione). Per consentire la consegna dei log di flusso su più account ad Amazon Data Firehose, devi creare IAM un ruolo nell'account di origine e IAM un ruolo nell'account di destinazione.

Ruolo dell'account di origine

Nell'account di origine, crea un ruolo che conceda le seguenti autorizzazioni. In questo esempio, il nome del ruolo è mySourceRole ma è possibile scegliere un nome diverso. L'ultima istruzione consente al ruolo nell'account di destinazione di assumere questo ruolo. Le istruzioni sulle condizioni assicurano che questo ruolo venga passato solo al servizio di consegna dei log e solo durante il monitoraggio della risorsa specificata. Quando crei la tua policy, specifica le VPCs interfacce di rete o le sottoreti che stai monitorando con la chiave di condizione. iam:AssociatedResourceARN

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::source-account:role/mySourceRole",
      "Condition": {
          "StringEquals": {
              "iam:PassedToService": "delivery.logs.amazonaws.com"
          },
          "StringLike": {
              "iam:AssociatedResourceARN": [
                  "arn:aws:ec2:region:source-account:vpc/vpc-00112233344556677"
              ]
          }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
          "logs:CreateLogDelivery",
          "logs:DeleteLogDelivery",
          "logs:ListLogDeliveries",
          "logs:GetLogDelivery"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole"      
    }
  ]
}

Verifica che questo ruolo abbia la seguente policy di attendibilità che consente al servizio di consegna dei log di assumere il ruolo.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
} 

Dall'account di origine, utilizza la seguente procedura per creare il ruolo.

Creazione del ruolo dell'account di origine

1. Apri la console all'IAMindirizzo. https://console.aws.amazon.com/iam/

2. Nel pannello di navigazione, selezionare Policies (Policy).

3. Scegli Create Policy (Crea policy).

4. Nella pagina Create policy (Crea policy), eseguire le operazioni seguenti:

   1. Scegli JSON.

   2. Sostituisci il contenuto di questa finestra con la policy delle autorizzazioni all'inizio di questa sezione.

   3. Scegli Next (Successivo).

   4. Inserisci un nome per la tua politica e una descrizione e tag facoltativi, quindi scegli Crea politica.

5. Nel pannello di navigazione, seleziona Roles (Ruoli).

6. Selezionare Create role (Crea ruolo).

7. Per Trusted entity type (Tipo di entità attendibile), scegli Custom trust policy (Policy di attendibilità personalizzata). Per Custom trust policy (Policy di attendibilità personalizzata), sostituisci "Principal": {}, con quanto segue, che specifica il servizio di consegna dei log. Scegli Next (Successivo).

   "Principal": {
      "Service": "delivery.logs.amazonaws.com"
   },

8. Sulla pagina Add permissions (Aggiungi autorizzazioni), seleziona la casella di controllo relativa alla policy creata in precedenza in questa procedura, quindi scegli Next (Successivo).

9. Immetti un nome per il ruolo e fornisci una descrizione facoltativa.

10. Seleziona Create role (Crea ruolo).

Ruolo dell'account di destinazione

Nell'account di destinazione, crea un ruolo con un nome che inizia con AWSLogDeliveryFirehoseCrossAccountRole. Questo ruolo deve concedere le autorizzazioni riportate di seguito.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "iam:CreateServiceLinkedRole",
          "firehose:TagDeliveryStream"
      ],
      "Resource": "*"
    }
  ]
}

Assicurarsi che questo ruolo abbia la seguente policy di attendibilità, che consenta al ruolo creato nell'account di origine di assumere questo ruolo.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
          "AWS": "arn:aws:iam::source-account:role/mySourceRole"
      },
      "Action": "sts:AssumeRole"
    }
  ]
} 

Dall'account di destinazione, utilizza la seguente procedura per creare il ruolo.

Creazione del ruolo dell'account di destinazione

1. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

2. Nel pannello di navigazione, selezionare Policies (Policy).

3. Scegli Create Policy (Crea policy).

4. Nella pagina Create policy (Crea policy), eseguire le operazioni seguenti:

   1. Scegli JSON.

   2. Sostituisci il contenuto di questa finestra con la policy delle autorizzazioni all'inizio di questa sezione.

   3. Scegli Next (Successivo).

   4. Inserisci un nome per la tua politica che inizia con AWSLogDeliveryFirehoseCrossAccountRole, quindi scegli Crea politica.

5. Nel pannello di navigazione, seleziona Roles (Ruoli).

6. Selezionare Create role (Crea ruolo).

7. Per Trusted entity type (Tipo di entità attendibile), scegli Custom trust policy (Policy di attendibilità personalizzata). Per Custom trust policy (Policy di attendibilità personalizzata), sostituisci "Principal": {}, con quanto segue, che specifica il ruolo dell'account di origine. Scegli Next (Successivo).

   "Principal": {
      "AWS": "arn:aws:iam::source-account:role/mySourceRole"
   },

8. Sulla pagina Add permissions (Aggiungi autorizzazioni), seleziona la casella di controllo relativa alla policy creata in precedenza in questa procedura, quindi scegli Next (Successivo).

9. Immetti un nome per il ruolo e fornisci una descrizione facoltativa.

10. Seleziona Create role (Crea ruolo).