Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
IAMrôle pour la publication des journaux de flux vers CloudWatch Logs
Le IAM rôle associé à votre journal de flux doit disposer d'autorisations suffisantes pour publier les journaux de flux dans le groupe de CloudWatch journaux indiqué dans Logs. Le IAM rôle doit appartenir à votre AWS compte.
La IAM stratégie associée à votre IAM rôle ; doit au moins inclure les autorisations suivantes :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" } ] }
Assurez-vous que votre rôle possède la politique de confiance suivante, qui permet au service de journaux de flux d'assumer le rôle.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Nous vous recommandons d’utiliser les clés de condition aws:SourceAccount
et aws:SourceArn
pour vous protéger contre le problème du député confus. Par exemple, vous pouvez ajouter le bloc de condition suivant à la stratégie d’approbation précédente. Le compte source est le propriétaire du journal de flux et la source ARN est le journal de fluxARN. Si vous ne connaissez pas l'ID du journal de flux, vous pouvez remplacer cette partie par un caractère générique (*), puis mettre à jour la politique après avoir créé le journal de flux. ARN
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id
"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region
:account_id
:vpc-flow-log/flow-log-id
"
}
}
Créer un IAM rôle pour les journaux de flux
Vous pouvez mettre à jour un rôle existant comme décrit ci-dessus. Vous pouvez également utiliser la procédure suivante pour créer un nouveau rôle à utiliser avec les journaux de flux. Vous allez spécifier ce rôle lors de la création du journal de flux.
Création d'un IAM rôle pour les journaux de flux
Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, choisissez Politiques.
-
Sélectionnez Create policy (Créer une politique).
-
Sur la page Create policy (Créer une stratégie), procédez comme suit :
-
Choisissez JSON.
-
Remplacez le contenu de cette fenêtre par la politique d'autorisations au début de cette section.
-
Choisissez Suivant.
-
Saisissez un nom pour votre politique ainsi qu'une description et des balises facultatives, puis choisissez Create policy (Créer une politique).
-
-
Dans le panneau de navigation, choisissez Roles (Rôles).
-
Sélectionnez Create role (Créer un rôle).
-
Pour Trusted entity type (Type d'entité de confiance), choisissez Custom trust policy (Politique de confiance personnalisée). Pour Custom trust policy (Politique de confiance personnalisée), remplacez
"Principal": {},
par ce qui suit, puis choisissez Next (Suivant)."Principal": { "Service": "vpc-flow-logs.amazonaws.com" },
-
Sur la page Add permissions (Ajouter des autorisations), cochez la case correspondant à la politique que vous avez créée plus tôt dans cette procédure, puis choisissez Next (Suivant).
-
Entrez un nom pour votre rôle et fournissez une description, le cas échéant.
-
Sélectionnez Créer un rôle.