Konfigurieren Sie die CloudWatch Protokollierungsrolle - AWS Transfer Family

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren Sie die CloudWatch Protokollierungsrolle

Um den Zugriff festzulegen, erstellen Sie eine ressourcenbasierte IAM-Richtlinie und eine IAM-Rolle, die diese Zugriffsinformationen bereitstellt.

Um die CloudWatch Amazon-Protokollierung zu aktivieren, erstellen Sie zunächst eine IAM-Richtlinie, die die CloudWatch Protokollierung aktiviert. Anschließend erstellen Sie eine IAM-Rolle und fügen ihr die Richtlinie hinzu. Sie können dies tun, wenn Sie einen Server erstellen oder indem Sie einen vorhandenen Server bearbeiten. Weitere Informationen zu CloudWatch finden Sie unter Was ist Amazon CloudWatch? und Was ist Amazon CloudWatch Logs? im CloudWatch Amazon-Benutzerhandbuch.

Verwenden Sie die folgenden IAM-Beispielrichtlinien, um die CloudWatch Protokollierung zu ermöglichen.

Use a logging role
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
        }
    ]
}
Use structured logging
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"
            ],
            "Resource": "arn:aws:logs:region-id:AWS-Konto:log-group:/aws/transfer/*"
        }
    ]
}

Ersetzen Sie in der vorherigen Beispielrichtlinie für die die die Resource Region-ID und AWS-Kontodurch Ihre Werte. Beispiel: "Resource": "arn:aws::logs:us-east-1:111122223333:log-group:/aws/transfer/*"

Anschließend erstellen Sie eine Rolle und fügen die von Ihnen erstellte CloudWatch Logs-Richtlinie hinzu.

So erstellen Sie eine IAM-Rolle und fügen dieser eine Richtlinie an

  1. Wählen Sie im Navigationsbereich Roles (Rollen) und dann Create role (Rolle erstellen).

    Vergewissern Sie sich, dass auf der Seite Rolle erstellen der AWS Dienst ausgewählt ist.

  2. Wählen Sie in der Service-Liste Transfer (Übertragung) und dann Next: Permissions (Weiter: Berechtigungen) aus. Dadurch wird eine Vertrauensbeziehung zwischen AWS Transfer Family und der IAM-Rolle hergestellt. Fügen Sie außerdem Schlüssel hinzu aws:SourceAccount und geben Sie aws:SourceArn ihnen Bedingungen, um sich vor dem Problem mit dem verwirrten Stellvertreter zu schützen. Weitere Informationen finden Sie in der folgenden Dokumentation:

  3. Suchen Sie im Abschnitt Zugriffsrichtlinien anhängen nach der CloudWatch Protokollrichtlinie, die Sie gerade erstellt haben, wählen Sie sie aus und klicken Sie dann auf Weiter: Tags.

  4. (Optional) Geben Sie einen Schlüssel und einen Wert für ein Tag ein und wählen Sie Next: Review (Weiter: Prüfen) aus.

  5. Geben Sie auf der Seite Review (Prüfen) einen Namen und eine Beschreibung für die neue Rolle ein und wählen Sie dann Create role (Rolle erstellen) aus.

  6. Um die Protokolle anzuzeigen, wählen Sie die Server-ID aus, um die Serverkonfigurationsseite zu öffnen, und wählen Sie Protokolle anzeigen. Sie werden zur CloudWatch Konsole weitergeleitet, wo Sie Ihre Log-Streams sehen können.

Auf der CloudWatch Seite für Ihren Server finden Sie Aufzeichnungen zur Benutzerauthentifizierung (Erfolg und Misserfolg), zu Datenuploads (PUTOperationen) und zu Datendownloads (GETOperationen).