IAMruolo per la pubblicazione dei log di flusso su Logs CloudWatch - Amazon Virtual Private Cloud
Crea un IAM ruolo per i log di flusso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IAMruolo per la pubblicazione dei log di flusso su Logs CloudWatch

Il IAM ruolo associato al log di flusso deve disporre di autorizzazioni sufficienti per pubblicare i log di flusso nel gruppo di log specificato in Logs. CloudWatch Il IAM ruolo deve appartenere al tuo account. AWS

La IAM politica associata al tuo IAM ruolo deve includere almeno le seguenti autorizzazioni.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}

Verificare che il ruolo abbia la seguente policy di attendibilità che consente al servizio dei log di flusso di assumere il ruolo.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Si consiglia di utilizzare il le chiavi di condizione aws:SourceAccount e aws:SourceArn per proteggersi dal problema del "confused deputy". Ad esempio, è possibile aggiungere il seguente blocco di condizione alla policy di attendibilità precedente. L'account di origine è il proprietario del log di flusso e l'origine ARN è il log ARN di flusso. Se non conosci l'ID del log di flusso, puoi sostituire quella parte ARN con un carattere jolly (*) e quindi aggiornare la policy dopo aver creato il log di flusso.

"Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
    }
}

Crea un IAM ruolo per i log di flusso

È possibile aggiornare un ruolo esistente come descritto in precedenza. In alternativa, puoi utilizzare la seguente procedura per creare un nuovo ruolo per l'utilizzo con log di flusso. Questo ruolo dovrà essere specificato quando crei il log del flusso.

Per creare un IAM ruolo per i log di flusso

  1. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, selezionare Policies (Policy).

  3. Scegli Create Policy (Crea policy).

  4. Nella pagina Create policy (Crea policy), eseguire le operazioni seguenti:

    1. Scegli JSON.

    2. Sostituisci il contenuto di questa finestra con la policy delle autorizzazioni all'inizio di questa sezione.

    3. Scegli Next (Successivo).

    4. Inserisci un nome per la tua politica e una descrizione e tag facoltativi, quindi scegli Crea politica.

  5. Nel pannello di navigazione, seleziona Roles (Ruoli).

  6. Selezionare Create role (Crea ruolo).

  7. Per Trusted entity type (Tipo di entità attendibile), scegli Custom trust policy (Policy di attendibilità personalizzata). Per Custom trust policy (Policy di attendibilità personalizzata), sostituisci "Principal": {}, con quanto segue, quindi seleziona Next (Successivo).

    "Principal": {
   "Service": "vpc-flow-logs.amazonaws.com"
},

  8. Sulla pagina Add permissions (Aggiungi autorizzazioni), seleziona la casella di controllo relativa alla policy creata in precedenza in questa procedura, quindi scegli Next (Successivo).

  9. Immetti un nome per il ruolo e fornisci una descrizione facoltativa.

  10. Seleziona Create role (Crea ruolo).