建立 IAM 政策來存取 CloudWatch Logs 資源 - Amazon Aurora

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 IAM 政策來存取 CloudWatch Logs 資源

Aurora 可以存取 CloudWatch Logs,以便從 Aurora 資料庫叢集匯出稽核日誌資料。不過,您必須先建立 IAM 政策來提供日誌群組和日誌串流許可,以允許 Aurora 存取 CloudWatch Logs。

下列政策新增讓 Aurora 代表您存取 Amazon CloudWatch Logs 所需的許可,以及建立日誌群組和匯出資料所需的最低許可。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:GetLogEvents",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*"
        },
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutRetentionPolicy",
                "logs:CreateLogGroup"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*"
        }
    ]
}

您可以修改政策中的 ARN,以限制對特定 AWS 區域和帳戶的存取。

您可以使用下列步驟來建立 IAM 政策,以提供讓 Aurora 代表您存取 CloudWatch Logs 所需的最低許可。若要允許 Aurora 完整存取 CloudWatch Logs,您可以略過這些步驟,並使用 CloudWatchLogsFullAccess 預先定義的 IAM 政策,而不需自行建立。如需詳細資訊,請參閱《Amazon CloudWatch 使用者指南》中的針對 CloudWatch Logs 使用以身分為基礎的政策 (IAM 政策)

建立 IAM 政策以授權存取 CloudWatch Logs 資源

  1. 開啟 IAM 主控台

  2. 在導覽窗格中,選擇 Policies (政策)。

  3. 選擇 Create policy (建立政策)。

  4. Visual editor (視覺化編輯器) 標籤中,選擇 Choose a service (選擇服務),然後選擇 CloudWatch Logs

  5. 對於 Actions (動作),選擇 Expand all (全部展開) (右側),然後選擇 IAM 政策所需的 Amazon CloudWatch Logs 許可。

    確保已選取下列許可:

    • CreateLogGroup

    • CreateLogStream

    • DescribeLogStreams

    • GetLogEvents

    • PutLogEvents

    • PutRetentionPolicy

  6. 選擇 Resources (資源),然後對 log-group 選擇 Add ARN (新增 ARN)

  7. Add ARN(s) (新增 ARN) 對話方塊中,輸入下列值:

    • Region (區域) – AWS 區域或 *

    • Account (帳戶) – 帳號或 *

    • Log Group Name (日誌群組名稱) – /aws/rds/*

  8. Add ARN(s) (新增 ARN) 對話方塊中,選擇 Add (新增)

  9. 對於 log-stream,選擇 Add ARN (新增 ARN)

  10. Add ARN(s) (新增 ARN) 對話方塊中,輸入下列值:

    • Region (區域) – AWS 區域或 *

    • Account (帳戶) – 帳號或 *

    • Log Group Name (日誌群組名稱) – /aws/rds/*

    • Log Stream Name (日誌串流名稱)*

  11. Add ARN(s) (新增 ARN) 對話方塊中,選擇 Add (新增)

  12. 選擇 Review policy (檢閱政策)

  13. Name (名稱) 設為您的 IAM 政策名稱,例如 AmazonRDSCloudWatchLogs。當您建立要與 Aurora 資料庫叢集相關聯的 IAM 角色時,您可以使用此名稱。您也可以新增選用的 Description (描述) 值。

  14. 選擇 Create policy (建立政策)。

  15. 完成「建立 IAM 角色以允許 Amazon Aurora 存取 AWS 服務」中的步驟。