Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruoli IAM per la consegna tra account
Quando si pubblica in Amazon Data Firehose, è possibile scegliere un flusso di consegna che si trova nello stesso account della risorsa da monitorare (l'account di origine) o in un altro account (l'account di destinazione). Per consentire la consegna tra account dei log di flusso ad Amazon Data Firehose, è necessario creare IAM un ruolo nell'account di origine e IAM un ruolo nell'account di destinazione.
Ruolo dell'account di origine
Nell'account di origine, crea un ruolo che conceda le seguenti autorizzazioni. In questo esempio, il nome del ruolo è mySourceRole
ma è possibile scegliere un nome diverso. L'ultima istruzione consente al ruolo nell'account di destinazione di assumere questo ruolo. Le istruzioni sulle condizioni assicurano che questo ruolo venga passato solo al servizio di consegna dei log e solo durante il monitoraggio della risorsa specificata. Quando si crea la propria policy, specifica le VPCs interfacce di rete o le sottoreti che si stanno monitorando con la chiave di condizione. iam:AssociatedResourceARN
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::
source-account
:role/mySourceRole
", "Condition": { "StringEquals": { "iam:PassedToService": "delivery.logs.amazonaws.com" }, "StringLike": { "iam:AssociatedResourceARN": [ "arn:aws:ec2:region
:source-account
:vpc/vpc-00112233344556677
" ] } } }, { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:GetLogDelivery" ], "Resource": "*" }, { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::destination-account
:role/AWSLogDeliveryFirehoseCrossAccountRole" } ] }
Verifica che questo ruolo abbia la seguente policy di attendibilità che consente al servizio di consegna dei log di assumere il ruolo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Dall'account di origine, utilizza la seguente procedura per creare il ruolo.
Creazione del ruolo dell'account di origine
Apri la console all'IAMindirizzo. https://console.aws.amazon.com/iam/
-
Nel pannello di navigazione, selezionare Policies (Policy).
-
Scegli Create Policy (Crea policy).
-
Nella pagina Create policy (Crea policy), eseguire le operazioni seguenti:
-
Scegli JSON.
-
Sostituisci il contenuto di questa finestra con la policy delle autorizzazioni all'inizio di questa sezione.
-
Scegli Next (Successivo).
-
Immetti un nome per la policy, una descrizione e i tag facoltativi, quindi scegli Create policy (Crea policy).
-
-
Nel pannello di navigazione, seleziona Roles (Ruoli).
-
Selezionare Create role (Crea ruolo).
-
Per Trusted entity type (Tipo di entità attendibile), scegli Custom trust policy (Policy di attendibilità personalizzata). Per Custom trust policy (Policy di attendibilità personalizzata), sostituisci
"Principal": {},
con quanto segue, che specifica il servizio di consegna dei log. Scegli Next (Successivo)."Principal": { "Service": "delivery.logs.amazonaws.com" },
-
Sulla pagina Add permissions (Aggiungi autorizzazioni), seleziona la casella di controllo relativa alla policy creata in precedenza in questa procedura, quindi scegli Next (Successivo).
-
Immetti un nome per il ruolo e fornisci una descrizione facoltativa.
-
Seleziona Create role (Crea ruolo).
Ruolo dell'account di destinazione
Nell'account di destinazione, crea un ruolo con un nome che inizia con AWSLogDeliveryFirehoseCrossAccountRole. Questo ruolo deve concedere le autorizzazioni riportate di seguito.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "firehose:TagDeliveryStream" ], "Resource": "*" } ] }
Assicurarsi che questo ruolo abbia la seguente policy di attendibilità, che consenta al ruolo creato nell'account di origine di assumere questo ruolo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
source-account
:role/mySourceRole
" }, "Action": "sts:AssumeRole" } ] }
Dall'account di destinazione, utilizza la seguente procedura per creare il ruolo.
Creazione del ruolo dell'account di destinazione
Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione, selezionare Policies (Policy).
-
Scegli Create Policy (Crea policy).
-
Nella pagina Create policy (Crea policy), eseguire le operazioni seguenti:
-
Scegli JSON.
-
Sostituisci il contenuto di questa finestra con la policy delle autorizzazioni all'inizio di questa sezione.
-
Scegli Next (Successivo).
-
Inserisci un nome per la tua politica che inizia con AWSLogDeliveryFirehoseCrossAccountRole, quindi scegli Crea politica.
-
-
Nel pannello di navigazione, seleziona Roles (Ruoli).
-
Selezionare Create role (Crea ruolo).
-
Per Trusted entity type (Tipo di entità attendibile), scegli Custom trust policy (Policy di attendibilità personalizzata). Per Custom trust policy (Policy di attendibilità personalizzata), sostituisci
"Principal": {},
con quanto segue, che specifica il ruolo dell'account di origine. Scegli Next (Successivo)."Principal": { "AWS": "arn:aws:iam::
source-account
:role/mySourceRole
" }, -
Sulla pagina Add permissions (Aggiungi autorizzazioni), seleziona la casella di controllo relativa alla policy creata in precedenza in questa procedura, quindi scegli Next (Successivo).
-
Immetti un nome per il ruolo e fornisci una descrizione facoltativa.
-
Seleziona Create role (Crea ruolo).