Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Argomenti
I log di flusso possono pubblicare i dati dei log di flusso direttamente su Firehose. Puoi scegliere di pubblicare i log di flusso sullo stesso account del monitor delle risorse o su un altro account.
Prerequisiti
Durante la pubblicazione su Firehose, i dati del log di flusso vengono pubblicati in un flusso di distribuzione Firehose, in formato testo semplice. È innanzitutto necessario aver creato un flusso di distribuzione Firehose. Per i passaggi per creare un flusso di distribuzione, consulta Creating an Amazon Data Firehose Delivery Stream nella Amazon Data Firehose Developer Guide.
Prezzi
Si applicano le spese standard di acquisizione e consegna. Per ulteriori informazioni, apri Amazon CloudWatch Pricing
Ruoli IAM per la consegna tra account
Quando si pubblica su Kinesis Data Firehose, è possibile scegliere un flusso di consegna che si trova nello stesso account della risorsa da monitorare (l'account di origine) o in un altro account (l'account di destinazione). Per consentire la consegna dei log di flusso su più account a Firehose, è necessario creare un ruolo IAM nell'account di origine e un ruolo IAM nell'account di destinazione.
Ruolo dell'account di origine
Nell'account di origine, crea un ruolo che conceda le seguenti autorizzazioni. In questo esempio, il nome del ruolo è mySourceRole ma è possibile scegliere un nome diverso. L'ultima istruzione consente al ruolo nell'account di destinazione di assumere questo ruolo. Le istruzioni sulle condizioni assicurano che questo ruolo venga passato solo al servizio di consegna dei log e solo durante il monitoraggio della risorsa specificata. Quando crei la tua policy, specifica le VPCs interfacce di rete o le sottoreti che stai monitorando con la chiave di condizione. iam:AssociatedResourceARN
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::source-account:role/mySourceRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "delivery.logs.amazonaws.com"
},
"StringLike": {
"iam:AssociatedResourceARN": [
"arn:aws:ec2:region:source-account:transit-gateway/tgw-0fb8421e2da853bf"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:GetLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole"
}
]
}Verifica che questo ruolo abbia la seguente policy di attendibilità che consente al servizio di consegna dei log di assumere il ruolo.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
} Ruolo dell'account di destinazione
Nell'account di destinazione, crea un ruolo con un nome che inizia con AWSLogDeliveryFirehoseCrossAccountRole. Questo ruolo deve concedere le autorizzazioni riportate di seguito.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}Assicurarsi che questo ruolo abbia la seguente policy di attendibilità, che consenta al ruolo creato nell'account di origine di assumere questo ruolo.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::source-account:role/mySourceRole"
},
"Action": "sts:AssumeRole"
}
]
} 