Création d'un IAM rôle pour les journaux de flux

IAMrôle pour la publication des journaux de flux dans CloudWatch Logs

Le IAM rôle associé à votre journal de flux doit disposer d'autorisations suffisantes pour publier des journaux de flux dans le groupe de CloudWatch journaux spécifié dans Logs. Le IAM rôle doit appartenir à votre AWS compte.

La IAM politique associée à votre IAM rôle doit inclure au moins les autorisations suivantes.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}

Assurez-vous que votre rôle possède la politique de confiance suivante, qui permet au service de journaux de flux d'assumer le rôle.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Nous vous recommandons d’utiliser les clés de condition aws:SourceAccount et aws:SourceArn pour vous protéger contre le problème du député confus. Par exemple, vous pouvez ajouter le bloc de condition suivant à la stratégie d’approbation précédente. Le compte source est le propriétaire du journal de flux et la source ARN est le journal de fluxARN. Si vous ne connaissez pas l'ID du journal de flux, vous pouvez remplacer cette partie par un caractère générique (*), puis mettre à jour la politique après avoir créé le journal de flux. ARN


"Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
    }
}

Création d'un IAM rôle pour les journaux de flux

Vous pouvez mettre à jour un rôle existant comme décrit ci-dessus. Vous pouvez également utiliser la procédure suivante pour créer un nouveau rôle à utiliser avec les journaux de flux. Vous allez spécifier ce rôle lors de la création du journal de flux.

Pour créer un IAM rôle pour les journaux de flux

Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.
Dans le panneau de navigation, choisissez Politiques.
Sélectionnez Create policy (Créer une politique).
Sur la page Create policy (Créer une stratégie), procédez comme suit :
1. Choisissez JSON.
2. Remplacez le contenu de cette fenêtre par la politique d'autorisations au début de cette section.
3. Choisissez Suivant.
4. Entrez un nom pour votre politique ainsi qu'une description et des balises facultatives, puis choisissez Créer une politique.
Dans le panneau de navigation, choisissez Roles (Rôles).
Sélectionnez Create role (Créer un rôle).
Pour Trusted entity type (Type d'entité de confiance), choisissez Custom trust policy (Politique de confiance personnalisée). Pour Custom trust policy (Politique de confiance personnalisée), remplacez "Principal": {}, par ce qui suit, puis choisissez Next (Suivant).
```
"Principal": {
   "Service": "vpc-flow-logs.amazonaws.com"
},
```
Sur la page Add permissions (Ajouter des autorisations), cochez la case correspondant à la politique que vous avez créée plus tôt dans cette procédure, puis choisissez Next (Suivant).
Entrez un nom pour votre rôle et fournissez une description, le cas échéant.
Sélectionnez Créer un rôle.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Publier dans CloudWatch Logs

Créez un journal de flux qui publie dans CloudWatch Logs