Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration des journaux Amazon MQ pour ActiveMQ
Pour autoriser Amazon MQ à publier des journaux dans Logs, vous devez ajouter une autorisation à votre utilisateur Amazon MQ et configurer une politique basée sur les ressources pour Amazon MQ avant de créer ou de redémarrer le courtier. CloudWatch
Note
Lorsque vous activez les journaux et publiez des messages depuis la console Web ActiveMQ, le contenu du message est envoyé et affiché dans CloudWatch les journaux.
Ce qui suit décrit les étapes de configuration CloudWatch des journaux pour vos courtiers ActiveMQ.
Rubriques
Comprendre la structure de la journalisation dans CloudWatch Logs
Vous pouvez activer la journalisation de type général et audit (audit) lorsque vous configurez les paramètres avancés de l’agent, créez un agent ou modifiez un agent.
La journalisation générale active le niveau de INFO journalisation par défaut (la DEBUG journalisation n'est pas prise en charge) et publie activemq.log dans un groupe de journaux de votre CloudWatch compte. Le groupe de journaux a un format similaire à ce qui suit :
/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/generalLa journalisation des auditsaudit.log publier dans un groupe de journaux de votre compte. CloudWatch Le groupe de journaux a un format similaire à ce qui suit :
/aws/amazonmq/broker/b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9/auditSelon le type d’agent, à savoir un agent à instance unique ou un agent actif/en veille, Amazon MQ crée un ou deux flux de journaux dans chaque groupe de journaux. Les flux de journaux ont un format similaire à ce qui suit.
activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-1.log
activemq-b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9-2.logLes suffixes -1 et -2 indiquent des instances d’agent individuelles. Pour plus d'informations, consultez la section Travailler avec des groupes de journaux et des flux de CloudWatch journaux dans le guide de l'utilisateur Amazon Logs.
Ajouter l’autorisation CreateLogGroup à l’utilisateur Amazon MQ
Pour autoriser Amazon MQ à créer un groupe de CloudWatch journaux Logs, vous devez vous assurer que l'utilisateur qui crée ou redémarre le broker dispose des autorisations nécessaires. logs:CreateLogGroup
Important
Si vous n'ajoutez pas l'autorisation CreateLogGroup à l'utilisateur Amazon MQ avant que l'utilisateur crée ou redémarre l'agent, Amazon MQ ne crée pas le groupe de journaux.
La politique IAM basée sur des exemples ci-dessous accorde logs:CreateLogGroup des autorisations aux utilisateurs auxquels cette politique est attachée.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "logs:CreateLogGroup", "Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*" } ] }
Note
Ici, le terme « utilisateur » fait référence aux utilisateurs et non pas aux utilisateurs Amazon MQ, qui sont créés quand un nouvel agent est configuré. Pour plus d'informations concernant la configuration des utilisateurs et la configuration des IAM politiques, reportez-vous à la section Présentation de la gestion des identités du guide de IAM l'utilisateur.
Pour plus d'informations, consultez CreateLogGroup le manuel Amazon CloudWatch Logs API Reference.
Configurer une politique basée sur les ressources pour Amazon MQ
Important
Si vous ne configurez pas de politique basée sur les ressources pour Amazon MQ, le courtier ne peut pas publier les journaux dans Logs. CloudWatch
Pour autoriser Amazon MQ à publier des journaux dans votre groupe de journaux, configurez une politique basée sur les ressources afin de permettre à Amazon MQ d'accéder aux actions de CloudWatch journaux suivantes : CloudWatch API
-
CreateLogStream— Crée un flux de CloudWatch journaux pour le groupe de journaux spécifié. -
PutLogEvents— Fournit des événements au flux de journal CloudWatch des journaux spécifié.
La politique basée sur les ressources suivante accorde des autorisations pour logs:CreateLogStream et logs:PutLogEvents pour. AWS
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "mq.amazonaws.com" }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*" } ] }
Cette politique basée sur les ressources doit être configurée à l'aide AWS CLI de la commande suivante. Dans l’exemple, remplacez us-east-1
aws --regionus-east-1logs put-resource-policy --policy-name AmazonMQ-logs \ --policy-document "{\"Version\": \"2012-10-17\", \"Statement\":[{ \"Effect\": \"Allow\", \"Principal\": { \"Service\": \"mq.amazonaws.com\" }, \"Action\": [\"logs:CreateLogStream\", \"logs:PutLogEvents\"], \"Resource\": \"arn:aws:logs:*:*:log-group:\/aws\/amazonmq\/*\" }]}"
Note
Comme cet exemple utilise le /aws/amazonmq/ préfixe, vous ne devez configurer la politique basée sur les ressources qu'une seule fois par AWS compte et par région.
Prévention du cas de figure de l’adjoint désorienté entre services
Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé d’accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services auprès des principaux fournisseurs de services qui ont obtenu l'accès aux ressources de votre compte.
Nous vous recommandons d'utiliser les clés de contexte de condition aws:SourceAccount globale aws:SourceArn et les clés contextuelles de votre politique basée sur les ressources Amazon MQ afin de limiter l'accès aux CloudWatch journaux à un ou plusieurs courtiers spécifiés.
Note
Si vous utilisez les deux clés de contexte de condition globale, la valeur aws:SourceAccount et le compte de la valeur aws:SourceArn doit utiliser le même ID de compte lorsqu’il est utilisé dans la même déclaration de stratégie.
L'exemple suivant illustre une politique basée sur les ressources qui limite l'accès aux CloudWatch journaux à un seul courtier Amazon MQ.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "mq.amazonaws.com" }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012", "aws:SourceArn": "arn:aws:mq:us-east-2:123456789012:broker:MyBroker:b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9" } } } ] }
Vous pouvez également configurer votre politique basée sur les ressources pour limiter l'accès aux CloudWatch journaux à tous les courtiers d'un compte, comme indiqué ci-dessous.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "mq.amazonaws.com" ] }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/amazonmq/*", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:mq:*:123456789012:broker:*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } } } ] }
Pour plus d'informations sur le problème de sécurité de l'adjoint confus, consultez Le problème de l'adjoint confus dans le Guide de l’utilisateur.
