IAMRolle zum Veröffentlichen von Flow-Protokollen in CloudWatch Logs - Amazon Virtual Private Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMRolle zum Veröffentlichen von Flow-Protokollen in CloudWatch Logs

Die IAM Rolle, die mit Ihrem Flow-Protokoll verknüpft ist, muss über ausreichende Berechtigungen zum Veröffentlichen von Flow-Protokollen für die angegebene Protokollgruppe unter CloudWatch Protokolle verfügen. Die IAM Rolle muss zu Ihrem AWS -Konto gehören.

Die IAM Richtlinie, die mit Ihrer IAM Rolle verknüpft ist, muss mindestens folgende Berechtigungen enthalten:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" } ] }

Stellen Sie sicher, dass Ihre Rolle die folgende Vertrauensrichtlinie hat, die es dem Flow-Protokollservice erlaubt, die Rolle zu übernehmen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Wir empfehlen Ihnen, die aws:SourceAccount- und aws:SourceArn-Bedingungsschlüssel zu verwenden, um sich vor dem Problem des verwirrten Stellvertreters zu schützen. Beispielsweise können Sie der vorherigen Vertrauensrichtlinie den folgenden Bedingungsblock hinzufügen. Das Quellkonto ist der Eigentümer des Flow-Protokolls und die Quelle ARN ist das Flow-ProtokollARN. Wenn Sie die Flow-Protokoll-ID nicht kennen, können Sie diesen Teil von durch einen Platzhalter (*) ersetzen und dann die Richtlinie aktualisieren, nachdem Sie das Flow-Protokoll erstellt haben. ARN

"Condition": { "StringEquals": { "aws:SourceAccount": "account_id" }, "ArnLike": { "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id" } }

So erstellen Sie eine IAM Rolle für Flow-Protokolle

Sie können eine vorhandene Rolle wie oben beschrieben aktualisieren. Alternativ können Sie mit dem folgenden Verfahren eine neue Rolle für Flow-Protokolle erstellen. Sie geben diese Rolle an, wenn Sie das Flow-Protokoll erstellen.

So erstellen Sie eine IAM Rolle für Flow-Protokolle
  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Richtlinien.

  3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  4. Führen Sie auf der Seite Create policy (Richtlinie erstellen) die folgenden Schritte aus:

    1. Wähle JSON.

    2. Ersetzen Sie den Inhalt dieses Fensters durch die Berechtigungsrichtlinie am Anfang dieses Abschnitts.

    3. Wählen Sie Weiter.

    4. Geben Sie einen Namen sowie optional eine Beschreibung und Tags ein und wählen Sie dann Create Policy (Richtlinie erstellen) aus.

  5. Wählen Sie im Navigationsbereich Rollen aus.

  6. Wählen Sie Rolle erstellen aus.

  7. Für Trusted entity type (Vertrauenstyp der Entität), wählen Sie Custom trust policy (Benutzerdefinierte Vertrauensrichtlinie). Für Custom trust policy (Benutzerdefinierte Vertrauensrichtlinie), ersetzen Sie "Principal": {}, mit Folgendem und wählen Sie Next (Weiter).

    "Principal": { "Service": "vpc-flow-logs.amazonaws.com" },
  8. Wählen Sie auf der Seite Add permissions (Berechtigungen hinzufügen) die zuvor in diesem Verfahren erstellte Richtlinie und anschließend Next (Weiter).

  9. Geben Sie einen Namen für die Rolle sowie optional eine Beschreibung ein.

  10. Wählen Sie Rolle erstellen.