Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
IAMperan untuk pengiriman lintas akun
Saat memublikasikan ke Amazon Data Firehose, Anda dapat memilih aliran pengiriman yang berada di akun yang sama dengan sumber daya yang akan dipantau (akun sumber), atau di akun lain (akun tujuan). Untuk mengaktifkan pengiriman lintas akun log aliran ke Amazon Data Firehose, Anda harus membuat IAM peran di akun sumber dan IAM peran di akun tujuan.
Peran akun sumber
Di akun sumber, buat peran yang memberikan izin berikut. Dalam contoh ini, nama perannya adalahmySourceRole
, tetapi Anda dapat memilih nama yang berbeda untuk peran ini. Pernyataan terakhir memungkinkan peran dalam akun tujuan untuk mengambil peran ini. Pernyataan kondisi memastikan bahwa peran ini diteruskan hanya ke layanan pengiriman log, dan hanya saat memantau sumber daya yang ditentukan. Saat Anda membuat kebijakan, tentukanVPCs, antarmuka jaringan, atau subnet yang Anda pantau dengan kunci kondisi. iam:AssociatedResourceARN
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::
source-account
:role/mySourceRole
", "Condition": { "StringEquals": { "iam:PassedToService": "delivery.logs.amazonaws.com" }, "StringLike": { "iam:AssociatedResourceARN": [ "arn:aws:ec2:region
:source-account
:vpc/vpc-00112233344556677
" ] } } }, { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:GetLogDelivery" ], "Resource": "*" }, { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::destination-account
:role/AWSLogDeliveryFirehoseCrossAccountRole" } ] }
Pastikan bahwa peran ini memiliki kebijakan kepercayaan berikut mengizinkan layanan pengiriman log untuk mengambil peran tersebut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Dari akun sumber, gunakan prosedur berikut untuk membuat peran.
Untuk membuat peran akun sumber
Buka IAM konsol di https://console.aws.amazon.com/iam/
. -
Di panel navigasi, pilih Kebijakan.
-
Pilih Buat kebijakan.
-
Di halaman Buat kebijakan, lakukan hal berikut:
-
Pilih JSON.
-
Ganti isi jendela ini dengan kebijakan izin di awal bagian ini.
-
Pilih Berikutnya.
-
Masukkan nama untuk kebijakan Anda dan deskripsi dan tag opsional, dan kemudian pilih Buat kebijakan.
-
-
Di panel navigasi, pilih Peran.
-
Pilih Buat peran.
-
Untuk jenis entitas Tepercaya, pilih Kebijakan kepercayaan khusus. Untuk kebijakan kepercayaan kustom, ganti
"Principal": {},
dengan yang berikut ini, yang menentukan layanan pengiriman log. Pilih Berikutnya."Principal": { "Service": "delivery.logs.amazonaws.com" },
-
Pada halaman Tambahkan izin, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.
-
Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional.
-
Pilih Buat peran.
Peran akun tujuan
Di akun tujuan, buat peran dengan nama yang dimulai dengan AWSLogDeliveryFirehoseCrossAccountRole. Peran ini harus memberikan izin berikut ini.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "firehose:TagDeliveryStream" ], "Resource": "*" } ] }
Pastikan peran ini memiliki kebijakan kepercayaan berikut, yang memungkinkan peran yang Anda buat di akun sumber untuk mengambil peran ini.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
source-account
:role/mySourceRole
" }, "Action": "sts:AssumeRole" } ] }
Dari akun tujuan, gunakan prosedur berikut untuk membuat peran.
Untuk membuat peran akun tujuan
Buka IAM konsol di https://console.aws.amazon.com/iam/
. -
Di panel navigasi, pilih Kebijakan.
-
Pilih Buat kebijakan.
-
Di halaman Buat kebijakan, lakukan hal berikut:
-
Pilih JSON.
-
Ganti isi jendela ini dengan kebijakan izin di awal bagian ini.
-
Pilih Berikutnya.
-
Masukkan nama untuk kebijakan Anda yang dimulai dengan AWSLogDeliveryFirehoseCrossAccountRole, lalu pilih Buat kebijakan.
-
-
Di panel navigasi, pilih Peran.
-
Pilih Buat peran.
-
Untuk jenis entitas Tepercaya, pilih Kebijakan kepercayaan khusus. Untuk kebijakan kepercayaan khusus, ganti
"Principal": {},
dengan yang berikut, yang menentukan peran akun sumber. Pilih Berikutnya."Principal": { "AWS": "arn:aws:iam::
source-account
:role/mySourceRole
" }, -
Pada halaman Tambahkan izin, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.
-
Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional.
-
Pilih Buat peran.