As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Logs enviados ao Firehose
Esta seção se aplica quando os tipos de logs listados na tabela da seção anterior são enviados ao Firehose:
Permissões de usuário
Para poder configurar o envio de qualquer um desses tipos de logs ao Firehose pela primeira vez, você deve fazer login em uma conta com as permissões a seguir.
-
logs:CreateLogDelivery -
firehose:TagDeliveryStream -
iam:CreateServiceLinkedRole
Se algum desses tipos de log já estiver sendo enviado ao Firehose, para configurar o envio de outro tipo de log para o Firehose, você só precisará ter as permissões logs:CreateLogDelivery e firehose:TagDeliveryStream.
Funções do IAM usadas para permissões
Como o Firehose não usa políticas de recursos, AWS usa funções do IAM ao configurar esses registros para serem enviados ao Firehose. AWS cria uma função vinculada ao serviço chamada. AWSServiceRoleForLogDelivery Essa função vinculada ao serviço inclui as permissões a seguir.
Essa função vinculada ao serviço concede permissão para todos os streams de entrega do Firehose que têm a tag definida como. LogDeliveryEnabled true AWS fornece essa tag ao stream de entrega de destino quando você configura o registro.
Essa função vinculada ao serviço também tem uma política de confiança que permite que a entidade de serviço delivery.logs.amazonaws.com assuma a função vinculada ao serviço necessária. Essa política de confiança é a seguinte:
