Criar uma política do IAM para acessar recursos do CloudWatch Logs

O Aurora pode acessar o CloudWatch Logs para exportar dados de log de auditoria de um cluster de banco de dados Aurora. No entanto, você precisa primeiro criar uma política do IAM que forneça as permissões do grupo de log e do fluxo de log que possibilitam que o Aurora acesse o CloudWatch Logs.

A seguinte política adiciona as permissões exigidas pelo Aurora para acessar o Amazon CloudWatch Logs em seu nome e as permissões mínimas necessárias para criar grupos de logs e exportar dados.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:GetLogEvents",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*"
        },
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutRetentionPolicy",
                "logs:CreateLogGroup"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*"
        }
    ]
}

É possível modificar os ARNs na política para restringir o acesso a uma região e a uma conta específicas da AWS.

Você pode usar as seguintes etapas para criar uma política do IAM que forneça as permissões mínimas necessárias para o Aurora acessar o CloudWatch Logs em seu nome. Para permitir que o Aurora tenha acesso total ao CloudWatch Logs, você pode pular essas etapas e usar a política do IAM predefinida CloudWatchLogsFullAccess em vez de criar sua própria. Para obter mais informações, consulte Usar políticas baseadas em identidade (políticas do IAM) para o CloudWatch Logs no Guia do usuário do Amazon CloudWatch.

Para criar uma política do IAM para conceder acesso aos seus recursos do CloudWatch Logs

1. Abra o console do IAM.

2. No painel de navegação, escolha Policies (Políticas).

3. Escolha Create policy (Criar política).

4. Na guia Editor visual, selecione Escolher um serviço e, em seguida, escolha CloudWatch Logs.

5. Em Actions (Ações), escolha Expand all (Expandir tudo) (à direita) e escolha as permissões do Amazon CloudWatch Logs necessárias para a política do IAM.

   Certifique-se de que as seguintes permissões sejam selecionadas:

   • CreateLogGroup

   • CreateLogStream

   • DescribeLogStreams

   • GetLogEvents

   • PutLogEvents

   • PutRetentionPolicy

6. Escolha Recursos e Adicionar Nome de recurso da Amazon (ARN) para grupo de logs.

7. Na caixa de diálogo Adicionar Nome(s) de recurso(s) da Amazon (ARN(s)), insira os seguintes valores:

   • Region (Região): uma região da AWS ou *

   • Account (Conta) – um número de conta ou *

   • Log Group Name (Nome do grupo de logs – /aws/rds/*

8. Na caixa de diálogo Add ARN(s) (Adicionar ARN(s)), escolha Add (Adicionar).

9. Escolha Adicionar Nome de recurso da Amazon (ARN) para fluxo de logs.

10. Na caixa de diálogo Adicionar Nome(s) de recurso(s) da Amazon (ARN(s)), insira os seguintes valores:

    • Region (Região): uma região da AWS ou *

    • Account (Conta) – um número de conta ou *

    • Log Group Name (Nome do grupo de logs – /aws/rds/*

    • Log Stream Name (Nome do fluxo de logs – *

11. Na caixa de diálogo Add ARN(s) (Adicionar ARN(s)), escolha Add (Adicionar).

12. Escolha Review policy (Revisar política).

13. Defina Name como um nome para a sua política do IAM, por exemplo AmazonRDSCloudWatchLogs. Você usa esse nome ao criar uma função do IAM a ser associada ao seu cluster de banco de dados do Aurora. Você também pode adicionar um valor opcional para Description (Descrição).

14. Escolha Create policy (Criar política).

15. Siga as etapas em Criar uma função do IAM para permitir que o Amazon Aurora acesse produtos da AWS.