메뉴
Amazon Relational Database Service
사용 설명서 (API 버전 2014-10-31)

CloudWatch Logs 리소스에 액세스할 수 있는 IAM 정책 생성

Aurora는 CloudWatch Logs에 액세스하여 Aurora DB 클러스터의 감사 로그 데이터를 내보낼 수 있습니다. 하지만 Aurora에서 CloudWatch Logs에 액세스하도록 허용하는 로그 그룹 및 로그 스트림 권한을 제공하는 IAM 정책을 먼저 생성해야 합니다.

다음 정책은 사용자 대신 Aurora에서 Amazon CloudWatch Logs에 액세스하는 데 필요한 권한과 로그 그룹을 생성하고 데이터를 내보내는 데 필요한 최소 권한을 추가합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroups", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:PutRetentionPolicy" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/rds/*" ] }, { "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogStreams", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:GetLogEvents" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*" ] } ] }

다음 단계를 사용하여 사용자 대신 Aurora에서 CloudWatch Logs에 액세스하는 데 필요한 최소 권한을 제공하는 IAM 정책을 생성할 수 있습니다. Aurora에서 모든 CloudWatch Logs에 액세스하도록 허용하려면 이러한 단계를 건너뛰고 정책을 직접 생성하는 대신 CloudWatchLogsFullAccess 사전 정의된 IAM 정책을 사용할 수 있습니다. 자세한 내용은 Amazon CloudWatch 사용 설명서CloudWatch Logs에 대한 자격 증명 기반 정책(IAM 정책) 사용 단원을 참조하십시오.

CloudWatch Logs 리소스에 대한 액세스 권한을 부여하는 IAM 정책 생성 방법

  1. IAM 콘솔을 엽니다.

  2. 탐색 창에서 Policies를 선택합니다.

  3. [Create policy]를 선택합니다.

  4. [Visual editor] 탭에서 [Choose a service]를 선택한 다음 [CloudWatch Logs]를 선택합니다.

  5. [Select actions]를 선택한 다음 IAM 정책에 필요한 Amazon CloudWatch Logs 권한을 선택합니다.

    다음 권한이 선택되었는지 확인합니다.

    • CreateLogGroup

    • CreateLogStream

    • DescribeLogStreams

    • GetLogEvents

    • PutLogEvents

    • PutRetentionPolicy

  6. [Resources]를 선택하고 log-group에 대해 [Add ARN]을 선택합니다.

  7. [Add ARN(s)] 대화 상자에서 [Log Group Name]에 대해 log-group:/aws/rds/*를 입력하고 [Add]를 선택합니다.

  8. [log-stream]에 대해 [Add ARN]을 선택합니다.

  9. [Add ARN(s)] 대화 상자에서 다음 값을 입력합니다.

    • [Log Group Name] - log-group:/aws/rds/*

    • [Log Stream] - log-stream

    • [Log Stream Name] - *

  10. [Add ARN(s)] 대화 상자에서 [Add]를 선택합니다.

  11. [Review policy]를 선택합니다.

  12. [ Name]을 IAM 정책의 이름으로 설정합니다(예: AmazonRDSCloudWatchLogs). IAM 역할을 만들어 Aurora DB 클러스터와 연결할 때 이 이름을 사용합니다. Description 값(선택 사항)을 추가할 수도 있습니다.

  13. [Create policy]를 선택합니다.

  14. Amazon Aurora에서 AWS 서비스에 액세스하도록 허용하는 IAM 역할 만들기의 단계를 수행합니다.