Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Themen
Flow-Logs können Flow-Log-Daten direkt in Firehose veröffentlichen. Sie können wählen, ob Sie Flow-Protokolle für dasselbe Konto wie den Ressourcenmonitor oder für ein anderes Konto veröffentlichen möchten.
Voraussetzungen
Bei der Veröffentlichung in Firehose werden die Flow-Protokolldaten in einem Firehose-Lieferstream im Klartextformat veröffentlicht. Sie müssen zuerst einen Firehose-Lieferstream erstellt haben. Die Schritte zum Erstellen eines Delivery Streams finden Sie unter Creating an Amazon Data Firehose Delivery Stream im Amazon Data Firehose Developer Guide.
Preise
Es fallen die üblichen Kosten für Einnahme und Lieferung an. Weitere Informationen finden Sie unter Amazon CloudWatch Pricing
IAM-Rollen für die kontoübergreifende Bereitstellung
Wenn Sie in Kinesis Data Firehose veröffentlichen, können Sie einen Bereitstellungsstream auswählen, der sich in demselben Konto wie die zu überwachende Ressource (das Quellkonto) oder in einem anderen Konto (dem Zielkonto) befindet. Um die kontoübergreifende Übermittlung von Flow-Protokollen an Firehose zu ermöglichen, müssen Sie eine IAM-Rolle im Quellkonto und eine IAM-Rolle im Zielkonto erstellen.
Rolle des Quellkontos
Erstellen Sie im Quellkonto eine Rolle, die die folgenden Berechtigungen gewährt. In diesem Beispiel lautet der Name der Rolle mySourceRole, allerdings können Sie einen anderen Namen für diese Rolle wählen. Die letzte Anweisung ermöglicht es der Rolle im Zielkonto, diese Rolle zu übernehmen. Die Bedingungsanweisungen stellen sicher, dass diese Rolle nur an den Protokollbereitstellungsservice und nur beim Überwachen der angegebenen Ressource übergeben wird. Wenn Sie Ihre Richtlinie erstellen, geben Sie die VPCs Netzwerkschnittstellen oder Subnetze, die Sie überwachen, mit dem Bedingungsschlüssel iam:AssociatedResourceARN an.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::source-account:role/mySourceRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "delivery.logs.amazonaws.com"
},
"StringLike": {
"iam:AssociatedResourceARN": [
"arn:aws:ec2:region:source-account:transit-gateway/tgw-0fb8421e2da853bf"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:GetLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole"
}
]
}Stellen Sie sicher, dass Ihre Rolle die folgende Vertrauensrichtlinie hat, die es dem Protokollservice erlaubt, die Rolle zu übernehmen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
} Rolle des Zielkontos
Erstellen Sie im Zielkonto eine Rolle mit einem Namen, der mit beginnt AWSLogDeliveryFirehoseCrossAccountRole. Die Rolle muss die folgenden Berechtigungen enthalten.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}Stellen Sie sicher, dass diese Rolle über die folgende Vertrauensrichtlinie verfügt, mit der die Rolle, die Sie im Quellkonto erstellt haben, diese Rolle übernehmen kann.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account:role/mySourceRole"
},
"Action": "sts:AssumeRole"
}
]
} 