Membuat kebijakan IAM untuk mengakses sumber daya Log CloudWatch - Amazon Aurora

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat kebijakan IAM untuk mengakses sumber daya Log CloudWatch

Aurora dapat mengakses Log CloudWatch untuk mengekspor data log audit dari klaster DB Aurora. Namun, Anda harus terlebih dahulu membuat kebijakan IAM yang menyediakan izin grup log dan log stream yang memungkinkan Aurora mengakses Log CloudWatch.

Kebijakan berikut menambahkan izin yang diperlukan Aurora untuk mengakses Log Amazon CloudWatch atas nama Anda, serta izin minimum yang diperlukan untuk membuat grup log dan mengekspor data. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:GetLogEvents",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*"
        },
        {
            "Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:PutRetentionPolicy",
                "logs:CreateLogGroup"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*"
        }
    ]
}

Anda dapat mengubah ARN dalam kebijakan untuk membatasi akses ke Wilayah AWS dan akun tertentu.

Anda dapat menggunakan langkah-langkah berikut untuk membuat kebijakan IAM yang memberikan izin minimum yang diperlukan Aurora untuk mengakses Log CloudWatch atas nama Anda. Untuk memberi Aurora akses penuh ke Log CloudWatch, Anda dapat melewati langkah-langkah ini dan menggunakan kebijakan IAM CloudWatchLogsFullAccess standar daripada membuatnya sendiri. Untuk informasi selengkapnya, lihat Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Log CloudWatch dalam Panduan Pengguna Amazon CloudWatch.

Untuk membuat kebijakan IAM untuk memberikan akses ke sumber daya Log CloudWatch Anda

  1. Buka konsol IAM.

  2. Di panel navigasi, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Di tab Editor visual, klik Pilih layanan, lalu pilih Log CloudWatch.

  5. Untuk Tindakan, pilih Perluas semua (di sebelah kanan), lalu pilih izin Log Amazon CloudWatch yang diperlukan untuk kebijakan IAM.

    Pastikan izin berikut dipilih:

    • CreateLogGroup

    • CreateLogStream

    • DescribeLogStreams

    • GetLogEvents

    • PutLogEvents

    • PutRetentionPolicy

  6. Pilih Sumber Daya dan pilih Tambahkan ARN untuk grup log.

  7. Di kotak dialog Tambahkan ARN, masukkan nilai berikut:

    • Wilayah – Wilayah AWS atau *

    • Akun – Nomor akun atau *

    • Nama Grup Log/aws/rds/*

  8. Di kotak dialog Tambahkan ARN, pilih Tambahkan.

  9. Pilih Tambahkan ARN untuk log stream.

  10. Di kotak dialog Tambahkan ARN, masukkan nilai berikut:

    • Wilayah – Wilayah AWS atau *

    • Akun – Nomor akun atau *

    • Nama Grup Log/aws/rds/*

    • Nama Log Stream*

  11. Di kotak dialog Tambahkan ARN, pilih Tambahkan.

  12. Pilih Tinjau kebijakan.

  13. Atur Nama untuk nama kebijakan IAM Anda, misalnya AmazonRDSCloudWatchLogs. Anda menggunakan nama ini saat membuat peran IAM untuk dikaitkan dengan klaster DB Aurora Anda. Anda juga dapat menambahkan nilai Deskripsi opsional.

  14. Pilih Buat kebijakan.

  15. Selesaikan langkah-langkah dalam Membuat peran IAM untuk mengizinkan Amazon Aurora mengakses layanan AWS.