Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Topik
Log aliran dapat mempublikasikan data log aliran langsung ke Firehose. Anda dapat memilih untuk mempublikasikan log alur ke akun yang sama dengan monitor sumber daya atau ke akun lain.
Prasyarat
Saat memublikasikan ke Firehose, data flow log dipublikasikan ke aliran pengiriman Firehose, dalam format teks biasa. Anda harus terlebih dahulu membuat aliran pengiriman Firehose. Untuk langkah-langkah membuat aliran pengiriman, lihat Membuat Aliran Pengiriman Firehose Data Amazon di Panduan Pengembang Amazon Data Firehose.
Penetapan Harga
Biaya konsumsi dan pengiriman standar berlaku. Untuk informasi selengkapnya, buka CloudWatch Harga Amazon
Peran IAM untuk pengiriman lintas akun
Saat memublikasikan ke Kinesis Data Firehose, Anda dapat memilih aliran pengiriman yang berada di akun yang sama dengan sumber daya yang akan dipantau (akun sumber), atau di akun lain (akun tujuan). Untuk mengaktifkan pengiriman lintas akun log aliran ke Firehose, Anda harus membuat peran IAM di akun sumber dan peran IAM di akun tujuan.
Peran akun sumber
Di akun sumber, buat peran yang memberikan izin berikut. Dalam contoh ini, nama perannya adalahmySourceRole, tetapi Anda dapat memilih nama yang berbeda untuk peran ini. Pernyataan terakhir memungkinkan peran dalam akun tujuan untuk mengambil peran ini. Pernyataan kondisi memastikan bahwa peran ini diteruskan hanya ke layanan pengiriman log, dan hanya saat memantau sumber daya yang ditentukan. Saat Anda membuat kebijakan, tentukan VPCs, antarmuka jaringan, atau subnet yang Anda pantau dengan kunci kondisi. iam:AssociatedResourceARN
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::source-account:role/mySourceRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "delivery.logs.amazonaws.com"
},
"StringLike": {
"iam:AssociatedResourceARN": [
"arn:aws:ec2:region:source-account:transit-gateway/tgw-0fb8421e2da853bf"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:GetLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole"
}
]
}Pastikan bahwa peran ini memiliki kebijakan kepercayaan berikut, yang memungkinkan layanan pengiriman log untuk mengambil peran tersebut.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
} Peran akun tujuan
Di akun tujuan, buat peran dengan nama yang dimulai dengan AWSLogDeliveryFirehoseCrossAccountRole. Peran ini harus memberikan izin berikut.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}Pastikan peran ini memiliki kebijakan kepercayaan berikut, yang memungkinkan peran yang Anda buat di akun sumber untuk mengambil peran ini.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account:role/mySourceRole"
},
"Action": "sts:AssumeRole"
}
]
} 