CloudWatch ログ記録ロールを設定する - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudWatch ログ記録ロールを設定する

アクセスを設定するには、リソースベースのIAMポリシーと、そのアクセス情報を提供するIAMロールを作成します。

Amazon CloudWatch ログ記録を有効にするには、まずログ記録を有効にするIAM CloudWatchポリシーを作成します。次に、IAMロールを作成し、ポリシーをアタッチします。そのためには、サーバーを作成するか既存のサーバーを編集します。の詳細については CloudWatch、「Amazon ユーザーガイド」の「Amazon とは CloudWatch」および CloudWatch「Amazon ログとは」を参照してください。 CloudWatch

CloudWatch ログ記録を許可するには、次のIAMポリシー例を使用します。

Use a logging role
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
        }
    ]
}
Use structured logging
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
            "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"
            ],
            "Resource": "arn:aws:logs:region-id:AWS アカウント:log-group:/aws/transfer/*"
        }
    ]
}

前述のポリシー例では、 でResource、 を置き換えます。region-id また、AWS アカウント 値を使用します。例えば、"Resource": "arn:aws::logs:us-east-1:111122223333:log-group:/aws/transfer/*"

次に、ロールを作成し、作成した CloudWatch ログポリシーをアタッチします。

IAM ロールを作成してポリシーをアタッチするには

  1. ナビゲーションペインで [Roles] (ロール) を選択してから [Create role] (ロールの作成) を選択します。

    [Create role] (ロールの作成) ページで [AWS service] (サービス) が選択されていることを確認します。

  2. サービスリストから [Transfer] (転送) を選択してから [Next: Permissions] (次へ: アクセス許可) を選択します。これにより、 AWS Transfer Family と IAMロール間の信頼関係が確立されます。さらに、aws:SourceAccountaws:SourceArn のコンディション・キーを追加し、「混乱する代理」問題から守ります。詳細は以下のドキュメントを参照のこと:

  3. アクセス許可ポリシーのアタッチセクションで、先ほど作成した CloudWatch ログポリシーを見つけて選択し、次へ: タグ を選択します。

  4. (オプション) タグのキーと値を入力して [Next: Review] (次へ: レビュー) を選択します。

  5. [Review] (確認) ページで新しいロールの名前と説明を入力してから [Create role] (ロールの作成) を選択します。

  6. ログを表示するには、[Server ID] (サーバー ID) を選択してサーバー設定ページを開き、[View logs] (ログの表示) を選択します。 CloudWatch コンソールにリダイレクトされ、ログストリームが表示されます。

サーバーの CloudWatch ページには、ユーザー認証 (成功と失敗)、データアップロード (PUT オペレーション)、データダウンロード (GET オペレーション) のレコードが表示されます。