CloudWatch ログ記録ロールを設定する - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudWatch ログ記録ロールを設定する

アクセス権を設定するには、リソースベースの IAM ポリシー、およびアクセス情報を提供する IAM ロールを作成します。

Amazon CloudWatch ログ記録を有効にするには、CloudWatch ログ記録を有効にする IAM ポリシーの作成から開始します。次いで、IAM ロールを作成して、ポリシーをアタッチします。そのためには、サーバーを作成するか既存のサーバーを編集します。CloudWatch の詳細については、Amazon CloudWatch ユーザーガイドの「Amazon CloudWatch とは何か」と「Amazon CloudWatch Logs とは何か」を参照してください。

CloudWatch のロギングを許可するには、以下の IAM ポリシーの例を使用します。

Use a logging role
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] }
Use structured logging
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": "*" } ] }

前述のサンプルポリシーでは、Resource について「region-id」と「AWS アカウント」を自分の値に置き換えます。例: "Resource": "arn:aws::logs:us-east-1:111122223333:log-group:/aws/transfer/*"

次いで、ロールを作成し、作成した CloudWatch Logs ポリシーをアタッチします。

IAM ロールを作成し、ポリシーをアタッチするには
  1. ナビゲーションペインで [Roles] (ロール) を選択してから [Create role] (ロールの作成) を選択します。

    [Create role] (ロールの作成) ページで [AWS service] (サービス) が選択されていることを確認します。

  2. サービスリストから [Transfer] (転送) を選択してから [Next: Permissions] (次へ: アクセス許可) を選択します。これにより、 AWS Transfer Family と IAM ロールとの信頼関係が確立されます。さらに、aws:SourceAccountaws:SourceArn のコンディション・キーを追加し、「混乱する代理」問題から守ります。詳細は以下のドキュメントを参照のこと:

  3. [Attach permissions policies] (アクセス許可ポリシーをアタッチする) セクションで、先ほど作成した CloudWatch Logs ポリシーを選択し、[Next: Tags] (次へ: タグ) を選択します。

  4. (オプション) タグのキーと値を入力し、[Next: Review] (次へ: 確認) を選択します。

  5. [Review] (確認) ページで新しいロールの名前と説明を入力してから [Create role] (ロールの作成) を選択します。

  6. ログを表示するには、[Server ID] (サーバー ID) を選択してサーバー設定ページを開き、[View logs] (ログの表示) を選択します。ログストリームを確認できる CloudWatch コンソールにリダイレクトされます。

サーバー用の CloudWatch ページで、ユーザー認証のレコード (成功と失敗)、データアップロード (PUT オペレーション) のレコード、およびデータダウンロード (GET オペレーション) のレコードを表示できます。