IAMRolle für die Veröffentlichung von Flow-Logs in CloudWatch Logs - Amazon Virtual Private Cloud
Erstellen Sie eine IAM Rolle für Flow-Logs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMRolle für die Veröffentlichung von Flow-Logs in CloudWatch Logs

Die IAM Rolle, die Ihrem Flow-Protokoll zugeordnet ist, muss über ausreichende Berechtigungen verfügen, um Flow-Logs in der angegebenen Protokollgruppe in CloudWatch Logs zu veröffentlichen. Die IAM Rolle muss zu Ihrem AWS Konto gehören.

Die mit Ihrer IAM Rolle verknüpfte IAM Richtlinie muss mindestens die folgenden Berechtigungen enthalten.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}

Stellen Sie sicher, dass Ihre Rolle die folgende Vertrauensrichtlinie hat, die es dem Flow-Protokollservice erlaubt, die Rolle zu übernehmen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Wir empfehlen Ihnen, die aws:SourceAccount- und aws:SourceArn-Bedingungsschlüssel zu verwenden, um sich vor dem Problem des verwirrten Stellvertreters zu schützen. Beispielsweise können Sie der vorherigen Vertrauensrichtlinie den folgenden Bedingungsblock hinzufügen. Das Quellkonto ist der Besitzer des Flow-Protokolls und die Quelle ARN ist das Flow-ProtokollARN. Wenn Sie die Flow-Protokoll-ID nicht kennen, können Sie diesen Teil von durch einen Platzhalter (*) ersetzen und dann die Richtlinie aktualisieren, nachdem Sie das Flow-Protokoll erstellt haben. ARN

"Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
    }
}

Erstellen Sie eine IAM Rolle für Flow-Logs

Sie können eine vorhandene Rolle wie oben beschrieben aktualisieren. Alternativ können Sie mit dem folgenden Verfahren eine neue Rolle für Flow-Protokolle erstellen. Sie geben diese Rolle an, wenn Sie das Flow-Protokoll erstellen.

Um eine IAM Rolle für Flow-Logs zu erstellen

  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Richtlinien.

  3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  4. Führen Sie auf der Seite Create policy (Richtlinie erstellen) die folgenden Schritte aus:

    1. Wähle JSON.

    2. Ersetzen Sie den Inhalt dieses Fensters durch die Berechtigungsrichtlinie am Anfang dieses Abschnitts.

    3. Wählen Sie Weiter.

    4. Geben Sie einen Namen für Ihre Richtlinie sowie eine optionale Beschreibung und Tags ein und wählen Sie dann Richtlinie erstellen aus.

  5. Wählen Sie im Navigationsbereich Rollen aus.

  6. Wählen Sie Rolle erstellen aus.

  7. Für Trusted entity type (Vertrauenstyp der Entität), wählen Sie Custom trust policy (Benutzerdefinierte Vertrauensrichtlinie). Für Custom trust policy (Benutzerdefinierte Vertrauensrichtlinie), ersetzen Sie "Principal": {}, mit Folgendem und wählen Sie Next (Weiter).

    "Principal": {
   "Service": "vpc-flow-logs.amazonaws.com"
},

  8. Wählen Sie auf der Seite Add permissions (Berechtigungen hinzufügen) die zuvor in diesem Verfahren erstellte Richtlinie und anschließend Next (Weiter).

  9. Geben Sie einen Namen für die Rolle sowie optional eine Beschreibung ein.

  10. Wählen Sie Rolle erstellen.