Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Temas
Los registros de flujo pueden publicar datos de registros de flujo directamente en Firehose. Puede optar por publicar los registros de flujo en la misma cuenta que el monitor de recursos o en una cuenta diferente.
Requisitos previos
Al publicarlos en Firehose, los datos del registro de flujo se publican en un flujo de entrega de Firehose en formato de texto sin formato. Primero debe haber creado un flujo de entrega de Firehose. Para conocer los pasos para crear un flujo de entrega, consulte Creación de un flujo de entrega de Amazon Data Firehose en la Guía para desarrolladores de Amazon Data Firehose.
Precios
Se aplican los cargos estándar de ingesta y entrega. Para obtener más información, abre Amazon CloudWatch Pricing
Roles de IAM para la entrega entre cuentas
Al publicar en Kinesis Data Firehose, puede elegir un flujo de entrega que esté en la misma cuenta que el recurso que se va a supervisar (la cuenta de origen) o en una cuenta diferente (la cuenta de destino). Para habilitar la entrega entre cuentas de los registros de flujo a Firehose, debe crear un rol de IAM en la cuenta de origen y un rol de IAM en la cuenta de destino.
Rol de cuenta de origen
En la cuenta de origen, cree un rol que conceda los siguientes permisos. En este ejemplo, el nombre del rol es mySourceRole, pero puede elegir un nombre diferente para este rol. La última instrucción permite que el rol de la cuenta de destino asuma este rol. Las instrucciones de condición garantizan que esta función se pase solo al servicio de entrega de registros y solo al supervisar el recurso especificado. Cuando crees tu política, especifica las VPCs interfaces de red o subredes que vas a monitorear con la clave de condición. iam:AssociatedResourceARN
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::source-account:role/mySourceRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "delivery.logs.amazonaws.com"
},
"StringLike": {
"iam:AssociatedResourceARN": [
"arn:aws:ec2:region:source-account:transit-gateway/tgw-0fb8421e2da853bf"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:GetLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole"
}
]
}Asegúrese de que este rol tenga la siguiente política de confianza, la cual permite que el servicio de entrega de registros asuma el rol.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
} Rol de cuenta de destino
En la cuenta de destino, cree un rol con un nombre que comience por. AWSLogDeliveryFirehoseCrossAccountRole El rol debe otorgar los siguientes permisos.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}Asegúrese de que este rol tenga la siguiente política de confianza, la cual permite que el rol que creó en la cuenta de origen asuma este rol.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account:role/mySourceRole"
},
"Action": "sts:AssumeRole"
}
]
} 