Amazon 데이터 파이어호스의 Transit Gateway 플로우 로그 레코드 - 아마존 VPC
교차 계정 전송에 대한 IAM 역할

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon 데이터 파이어호스의 Transit Gateway 플로우 로그 레코드

주제

흐름 로그는 흐름 로그 데이터를 Firehose에 직접 게시할 수 있습니다. 같은 계정을 리소스 모니터로 하여 흐름 로그를 게시하거나 다른 계정에 흐름 로그를 게시하기로 선택할 수 있습니다.

사전 조건

Firehose에 게시할 때 흐름 로그 데이터는 Firehose 전송 스트림에 일반 텍스트 형식으로 게시됩니다. 먼저 Firehose 전송 스트림을 생성해야 합니다. 전송 스트림을 생성하는 단계는 Amazon Data Firehose 개발자 안내서의 Amazon Data Firehose 전송 스트림 생성을 참조하십시오.

요금

표준 모으기 및 전송 요금이 적용됩니다. 자세한 내용은 Amazon CloudWatch Pricing을 열고 로그를 선택한 다음 벤디드 로그를 찾으십시오.

교차 계정 전송에 대한 IAM 역할

Kinesis Data Firehose에 게시할 때 모니터링할 리소스와 동일한 계정(소스 계정) 또는 상이한 계정(대상 계정)에 있는 전송 스트림을 선택할 수 있습니다. Firehose에 흐름 로그의 계정 간 전송을 활성화하려면 원본 계정에서 IAM 역할을 만들고 대상 계정에서 IAM 역할을 만들어야 합니다.

소스 계정 역할

소스 계정에서 다음과 같은 권한을 부여하는 역할을 생성합니다. 이 예시에서는 역할 이름이 mySourceRole이지만, 이 역할에 대해 다른 이름을 선택할 수 있습니다. 마지막 명령문에서는 대상 계정의 역할에 이 역할 수임을 허용합니다. 조건문에서는 지정된 리소스를 모니터링할 때만 이 역할이 로그 전송 서비스에만 전달되도록 합니다. 정책을 생성할 때 조건 키로 iam:AssociatedResourceARN 모니터링하는 네트워크 인터페이스 또는 서브넷을 지정하십시오. VPCs 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::source-account:role/mySourceRole",
      "Condition": {
          "StringEquals": {
              "iam:PassedToService": "delivery.logs.amazonaws.com"
          },
          "StringLike": {
              "iam:AssociatedResourceARN": [
                  "arn:aws:ec2:region:source-account:transit-gateway/tgw-0fb8421e2da853bf"
              ]
          }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
          "logs:CreateLogDelivery",
          "logs:DeleteLogDelivery",
          "logs:ListLogDeliveries",
          "logs:GetLogDelivery"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole"      
    }
  ]
}

로그 전송 서비스에서 역할을 수임할 수 있는 다음과 같은 신뢰 정책이 이 역할에 있는지 확인하세요.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

대상 계정 역할

대상 계정에서 로 시작하는 이름으로 역할을 생성합니다 AWSLogDeliveryFirehoseCrossAccountRole. 이 역할에서는 다음과 같은 권한을 부여해야 합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "iam:CreateServiceLinkedRole",
          "firehose:TagDeliveryStream"
      ],
      "Resource": "*"
    }
  ]
}

이 역할을 수임할 수 있도록 소스 계정에서 생성한 역할이 허용되는 다음과 같은 신뢰 정책이 이 역할에 있는지 확인하세요.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
          "AWS": "arn:aws:iam::source-account:role/mySourceRole"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}