IAMruolo per la pubblicazione di log di flusso in Logs CloudWatch - Amazon Virtual Private Cloud
Creazione di un IAM ruolo per i log di flusso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IAMruolo per la pubblicazione di log di flusso in Logs CloudWatch

Il IAM ruolo associato al log di flusso deve disporre di autorizzazioni sufficienti per pubblicare log di flusso nel gruppo di log specificato in CloudWatch Logs. Il IAM ruolo deve appartenere al tuo AWS account.

La IAM policy collegata al IAM ruolo deve includere almeno le autorizzazioni seguenti:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}

Verificare che il ruolo abbia la seguente policy di attendibilità che consente al servizio dei log di flusso di assumere il ruolo.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Si consiglia di utilizzare il le chiavi di condizione aws:SourceAccount e aws:SourceArn per proteggersi dal problema del "confused deputy". Ad esempio, è possibile aggiungere il seguente blocco di condizione alla policy di attendibilità precedente. L'account di origine è il proprietario del flusso di log e l'origine ARN è il log di flussoARN. Se non si conosce l'ID del log di flusso, è possibile sostituire quella parte del campo ARN con un carattere jolly (*) e quindi aggiornare la policy dopo aver creato il log di flusso.

"Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
    }
}

Creazione di un IAM ruolo per i log di flusso

È possibile aggiornare un ruolo esistente come descritto in precedenza. In alternativa, puoi utilizzare la seguente procedura per creare un nuovo ruolo per l'utilizzo con log di flusso. Questo ruolo dovrà essere specificato quando crei il log del flusso.

Per creare un IAM ruolo per i log di flusso

  1. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, selezionare Policies (Policy).

  3. Scegli Create Policy (Crea policy).

  4. Nella pagina Create policy (Crea policy), eseguire le operazioni seguenti:

    1. Scegli JSON.

    2. Sostituisci il contenuto di questa finestra con la policy delle autorizzazioni all'inizio di questa sezione.

    3. Scegli Next (Successivo).

    4. Immetti un nome per la policy, una descrizione e i tag facoltativi, quindi scegli Create policy (Crea policy).

  5. Nel pannello di navigazione, seleziona Roles (Ruoli).

  6. Selezionare Create role (Crea ruolo).

  7. Per Trusted entity type (Tipo di entità attendibile), scegli Custom trust policy (Policy di attendibilità personalizzata). Per Custom trust policy (Policy di attendibilità personalizzata), sostituisci "Principal": {}, con quanto segue, quindi seleziona Next (Successivo).

    "Principal": {
   "Service": "vpc-flow-logs.amazonaws.com"
},

  8. Sulla pagina Add permissions (Aggiungi autorizzazioni), seleziona la casella di controllo relativa alla policy creata in precedenza in questa procedura, quindi scegli Next (Successivo).

  9. Immetti un nome per il ruolo e fornisci una descrizione facoltativa.

  10. Seleziona Create role (Crea ruolo).