Langkah 1: Buat aliran pengiriman Firehose - CloudWatch Log Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 1: Buat aliran pengiriman Firehose

penting

Sebelum Anda menyelesaikan langkah-langkah berikut, Anda harus menggunakan kebijakan akses, sehingga Firehose dapat mengakses bucket Amazon S3 Anda. Untuk informasi selengkapnya, lihat Mengontrol Akses di Panduan Pengembang Amazon Data Firehose.

Semua langkah di bagian ini (Langkah 1) harus dilakukan di akun penerima data log.

US East (N. Virginia) digunakan dalam contoh perintah berikut. Ganti Wilayah ini dengan Wilayah yang benar untuk penerapan Anda.

Untuk membuat aliran pengiriman Firehose yang akan digunakan sebagai tujuan

  1. Buat bucket Amazon S3:

    aws s3api create-bucket --bucket amzn-s3-demo-bucket --create-bucket-configuration LocationConstraint=us-east-1

  2. Buat IAM peran yang memberikan izin Firehose untuk memasukkan data ke dalam bucket.

    1. Pertama, gunakan editor teks untuk membuat kebijakan kepercayaan dalam file ~/TrustPolicyForFirehose.json.

      { "Statement": { "Effect": "Allow", "Principal": { "Service": "firehose.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId":"222222222222" } } } }

    2. Buat IAM peran, tentukan file kebijakan kepercayaan yang baru saja Anda buat.

      aws iam create-role \ 
    --role-name FirehosetoS3Role \ 
    --assume-role-policy-document file://~/TrustPolicyForFirehose.json

    3. Output perintah ini akan terlihat serupa dengan yang berikut ini. Catat nama peran dan perannyaARN.

      {
    "Role": {
        "Path": "/",
        "RoleName": "FirehosetoS3Role",
        "RoleId": "AROAR3BXASEKW7K635M53",
        "Arn": "arn:aws:iam::222222222222:role/FirehosetoS3Role",
        "CreateDate": "2021-02-02T07:53:10+00:00",
        "AssumeRolePolicyDocument": {
            "Statement": {
                "Effect": "Allow",
                "Principal": {
                    "Service": "firehose.amazonaws.com"
                },
                "Action": "sts:AssumeRole",
                "Condition": {
                    "StringEquals": {
                        "sts:ExternalId": "222222222222"
                    }
                }
            }
        }
    }
}

  3. Buat kebijakan izin untuk menentukan tindakan yang dapat dilakukan Firehose di akun Anda.

    1. Pertama, gunakan editor teks untuk membuat kebijakan izin berikut dalam file bernama~/PermissionsForFirehose.json. Bergantung pada kasus penggunaan Anda, Anda mungkin perlu menambahkan lebih banyak izin ke file ini.

      {
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "s3:PutObject",
            "s3:PutObjectAcl",
            "s3:ListBucket"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket",
            "arn:aws:s3:::amzn-s3-demo-bucket/*"
        ]
    }]
}

    2. Masukkan perintah berikut untuk mengaitkan kebijakan izin yang baru saja Anda buat dengan IAM peran tersebut.

      aws iam put-role-policy --role-name FirehosetoS3Role --policy-name Permissions-Policy-For-Firehose-To-S3 --policy-document file://~/PermissionsForFirehose.json

  4. Masukkan perintah berikut untuk membuat aliran pengiriman Firehose. Ganti my-role-arn and amzn-s3-demo-bucket2-arn dengan nilai yang benar untuk penerapan Anda.

    aws firehose create-delivery-stream \
   --delivery-stream-name 'my-delivery-stream' \
   --s3-destination-configuration \
  '{"RoleARN": "arn:aws:iam::222222222222:role/FirehosetoS3Role", "BucketARN": "arn:aws:s3:::amzn-s3-demo-bucket"}'

    Outputnya akan serupa dengan yang berikut ini:

    {
    "DeliveryStreamARN": "arn:aws:firehose:us-east-1:222222222222:deliverystream/my-delivery-stream"
}